Avatar billede Robert Novice
03. oktober 2016 - 23:04 Der er 13 kommentarer og
1 løsning

Blokering af indkommende trafik i firewall

Jeg har en god firewall kørende på en Mikrotik router, og har sat op nogle regler som lægger indkommende trafik på kendte porter til flere blacklists.
Første forsøg på TCP port 22 og 23 fører til blacklist i 24t, derefter permanent om de prøver igen. Også kendte mssql/mysql porte bliver lagt til.

Er dog usikker på om det er ret metode, eftersom jeg godt er klar over at disse ofte er inficerede maskiner, og ofte en del af et botnet, så der er ofte en ny ip hver gang, og det kan efterhånden blive en meget stor liste.
Min firewall kan klare ganske store blacklists, men er der en mere effektiv metode?

Jeg går meget op i at have en terminal med firewall log kørende i et eget vindue, og vil helst at denne log viser mindst muligt af standard angreb.

Mit spørgsmål er blandt andet dette: Er løsningen at lægge til alle inficerede maskiner i en stor blacklist, og så slette denne en gang imellem?

Teknisk info:
OS: Ubuntu
Firewall: Router/switch m/RouterOS 6.x
Paranoia niveau: Middels/højt
Sølvpapirhat: Let tilgengelig
Avatar billede Nina Forsker
04. oktober 2016 - 08:00 #1
Evt. Mac filtering?

Ved ikke om du kan konfigurere din router til at huske Mac adressen på de computere der prøver at tilgå, så ligemeget om de skifter IP, kan den blackliste dem. 

Hvad er det for en Router du bruger? :)
Avatar billede Nina Forsker
04. oktober 2016 - 08:02 #2
Måske http://www.techonia.com/7/mac-address-filtering-mikrotik-wireless
Hvis det er den version du kører.
Avatar billede jakobdo Ekspert
04. oktober 2016 - 11:48 #3
Nu snakker du om blacklists.
Ville det i stedet for at køre blacklists, være muligt at lave en whitelist?
Du kender jo ikke alle dem som vil angribe dig, men du bør kender de ip'er du kommer fra?
(ved dog godt der findes dynamiske ip'er osv..)
Avatar billede CRKrogh Ekspert
04. oktober 2016 - 13:40 #4
Hej.

  Som du er inde på, vil udefrakommende invalid trafik som regel komme fra forskellige maskiner næsten hver gang, men geo-filtrering kunne være en mulighed, hvis din server kun er interessant for danske brugere?
  Med det sagt, så hører jeg også, at du er ved at erkende, at blacklisting ikke er vejen frem, da de netop hurtigt bliver uaktuelle og tunge, så der kunne måske skabes en scripted rotation (og efterfølgende sletning) en gang i døgnet, hvis du insisterer på at opretholde den.

De bedste hilsner
Avatar billede arne_v Ekspert
04. oktober 2016 - 15:46 #5
@Nina

MAC filter for internet traffik????
Avatar billede Nina Forsker
04. oktober 2016 - 15:50 #6
#5 På Routeren? Hvis den kan se IP-adresser kan den vel også finde Mac Adresserne ?
Avatar billede arne_v Ekspert
04. oktober 2016 - 15:54 #7
@Nina

Den kan kun se MAC adressen paa den naermeste firewall/router - ikke MAC adressen paa hvor requesten kommer fra.
Avatar billede Nina Forsker
04. oktober 2016 - 15:57 #8
#7

Okay - det vidste jeg ikke - men man lærer vel noget nyt hverdag, Tak Arne :)
Avatar billede Robert Novice
04. oktober 2016 - 17:20 #9
Jeg glemte at nævne etpar viktige ting.
1. Det er internet trafik jeg blokerer, og som flere har nævnt, der er mac adresse ude af billedet.
2. Mit filter stopper også udgående trafik til filtrerede ip-adresser, det vil sige at jeg ikke har meget lyst til at blokkere subnets jeg har brug for at tilgå (f.eks. USA).

Jeg har allerede en slags rotation, eftersom jeg kan vælge varighed på de adresser jeg lægger til min blacklist, og p.t. har jeg valgt en blanding af 1t/24t (afhængig af frekvens), men det kommer fremdeles ind masser af hits på f.eks port 1433,3389 og lignende som helt sikkert er bots.

Noget CRKrogh nævnte var geo-filtrering. Det kan måske være en
løsning for at stoppe en del af trafikken.

Meget af lortet kommer også fra USA, noget også fra europa, men jeg vil prøve en løsning som blokerer kun indkommende fra en del af verden som jeg har brug for tilgang til (Europa/USA), og så blokkere totalt dele af verden jeg ikke bryder mig så meget om at tilgå (Rusland/China).

Kan dog se potentielle problemer dersom jeg har brug for at komme ind på hw-support sider i Korea/Vietnam og China. Måske en whitelist i tillæg..

Godt tips, CRKrogh!

Håber på et tidspunkt ISP'er kan se lyset, og kan blokere port 22, 23, 3389 etc. på samme måde som de blokerer port 25 (og så gøre det enkelt at åbne for disse dersom brugerne har behov).
Avatar billede Robert Novice
04. oktober 2016 - 17:35 #10
@Nina, som svar til dit spørgsmål om hvad for en router jeg bruger, så er det denne:
https://routerboard.com/CRS125-24G-1S-2HnD-IN
Avatar billede CRKrogh Ekspert
04. oktober 2016 - 17:38 #11
Umiddelbart synes jeg ikke det er hensigtsmæssigt at ISP'erne skal agere "reserve-forældre" på den måde, at blokere legitim trafik på kendte porte.
Jeg vil næsten påstå, at de fleste, der har brug for en sådan blokering/filtrering er på et niveau, hvor de er i stand til at træffe fornuftige forholdsregler på egen hånd - præcist som du gør her.
Avatar billede Robert Novice
04. oktober 2016 - 17:47 #12
Det er jeg enig i, men eftersom der er så mange botnets der ude som fungerer, så betyder det at vi (verden) er alt for dårlige til at styre vores internet tilgang.

Mit ønske var nok mere at ISP'er har specielle filtre på gentagende trafik fra "mistænkelige lande", eftersom de fleste her i norden ikke er stærkt repræsenteret i de globale botnets.
Avatar billede Robert Novice
04. oktober 2016 - 17:53 #13
Eller virkelig hårde straffer for at kontrollere et botnet på over xxx maskiner, og et globalt samarbejde for at finde ud af det.
Jeg er virkelig SÅ træt af det. Vi lever i 2016, og fremdeles kan en fyr hvor som helst i verden inficere tusinde af pc'er uden risici.
Avatar billede CRKrogh Ekspert
04. oktober 2016 - 19:11 #14
Det er desværre sjældent, at nogen bliver stillet til ansvar for drift at et bot-net. Noget helt andet er så, at det er temmelig bekosteligt at lave tiltag som DDOS-beskyttelse, hvorfor bl.a. hostingfirmaer og ISP'er tager sig godt betalt for de services - også selvom de ikke på nogen måde vil give nogen form for brugbare garantier....
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester