LINUX.ORG.RU
ФорумAdmin

Защита веб-сервера от хакеров из BOGUS сетей с помощью iptables


0

0

Всем привет, спасибо за интерес к теме!

Итак суть проблемы: есть так называемые BOGUS-сети(хороший список таких сетей находится здесь: http://www.911networks.com//pages/internet/firewall/bogus-ip-addresses-class-...) - т.е. несуществующие сети диапазоны IP адресов которых либо ещё не выданы либо зарезервированы для каких-то целей. Каким-то непонятным мне образом кулхацкеры пытаются ломиться из этих сетей на веб-сервер. При взломе/спаме/DOSе из таких сетей некому выкатывать претензии поскольку эти сети не существуют, а значит не существуют и их администраторы :)

Скажите пожалуйста имеет ли смысл настраивать Firewall(iptables) так, чтобы блокировать все пакеты из этих сетей и насколько велик масштаб проблемы? Если да, то следующий вопрос: Как это сделать оптимальным образом?

Я так понимаю, что как минимум нужно делить список указанный выше на некоторое кол-во цепочек поскольку пропускать пакет через фильтр по всему списку(http://www.911networks.com//pages/internet/firewall/bogus-ip-addresses-class-...) для посещаемого ресурса просто нереально, поскольку сервер в этом случае умрёт ещё на этапе фильтрации пакетов и никакой DOS ему уже будет не нужен :)))

Я делаю нечто вида:
-----------------------------------------
#Bogus in 60.0.0.0/8
iptables -N bogus_chain_60
iptables -A bogus_chain_60 -m iprange --src-range 60.249.0.0-60.252.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.241.0.0-60.243.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.205.0.0-60.207.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.238.0.0-60.239.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.199.0.0-60.199.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.235.0.0-60.235.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.247.0.0-60.247.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.253.64.0-60.253.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.245.64.0-60.245.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.244.128.0-60.244.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.62.144.0-60.62.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.13.64.0-60.13.127.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.254.192.0-60.254.255.255 -j REJECT

iptables -N bogus_chain
iptables -A bogus_chain --src 60.0.0.0/8 -j bogus_chain_60

iptables -A INPUT -p tcp --dport 80 -j bogus_chain
-----------------------------------------------------
В итоге получается куча цепочек вместо одной большой INPUT, фильтр проверяет пришедшие пакеты на принадлежность к существующим сетям только при условии, что пакет пришёл на существующий сервис типа 80(Apache) все пакеты пришедшие на несуществующие сервисы сразу идут лесом :)

И ещё вопрос знатокам - насколько тяжела операция прыжка на другую цепочку по сравнению с операцией провеки попадания IP адреса в требуемый диапазон? На практике это означает примерно следующее: Какое кол-во условий типа:
"-A bogus_chain_60 -m iprange --src-range 60.245.64.0-60.245.255.255 -j REJECT"
имеет смысл выносить в отдельную цепочку с целью повысить производительность фильтра?

Re: Защита веб-сервера от хакеров из BOGUS сетей с помощью iptables

забей. это параноя.
если тебя ломать будут, то скорее всего из нормальной сети, с какой-нибудь зомби машины

Cosmicman ★★ ()

Re: Защита веб-сервера от хакеров из BOGUS сетей с помощью iptables

Слово "параноя" меня не останавливает :) Если это будет работать без видимой нагрузки на сервер, почему бы не добавить такой паранои? :)) Если меня будут ломать с зомби машины из нормальной сети, вопрос решается быстро с помощью whois.

А если это не будет работать быстро - то поставлены и другие вопросы по оптимизации работы iptables, ответы на которые нельзя получить просто вкурив маны :)

В любом случае, спасибо за мнение!

Ubnormal ()

Re: Защита веб-сервера от хакеров из BOGUS сетей с помощью iptables

я бы не все пакеты проверял такой цепочкой, а тока NEW

anonymous ()

Re: Защита веб-сервера от хакеров из BOGUS сетей с помощью iptables

имеет смысл имхо. тебя волнует нормальный пакеn, который будет проверяться через все правила. и лучше его прогнать через 20 правил и пропусить, чем через 5000, и пропустить.

solotony ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.