Reitittimen DROP pakettien loki

  • Keskustelun aloittaja Keskustelun aloittaja juhe
  • Aloitettu Aloitettu
Liittynyt
18.04.2018
Viestejä
225
Aikaisemmin ei ole tullut siirrettyä reitittimen pudotettujen pakettien lokia toiselle koneelle. Se loki näköjään kasvaa kohtuullista vauhtia. Rivejä on nyt 16 k ja niistä 1500 tullut yhdestä segmentistä eli 146.185.222.X:stä. (Python skriptillä luvut laskettu, löytää ne aktiivisimmat osoitteet.) Näyttää systemaattisesti etsivän avoimia portteja. Kun on julkinen IP, niin onhan niitä kaksi auki. Sinänsä ssh:n portin ei tarvitse olla jatkuvasti auki, ei nyt oikeasti käytössä ja sekin on auki vain sftp:llä käytettävissä. Yksi mahdollinen reikä kumminkin lisää. Toinen on OpenVPN.

Sitä miettii kuinka herkästi murtuu Asus 4G-AC55U:n OpenVPN sovellus, kun sille ei kai ole tulossa päivitystä. Ssh serverinä on ubuntu-kone, jossa ei ole lasten videoita kummempaa materiaalia (+ laserin skannaukset menee sinne). Jos on julkinen IP ja portteja auki, niin on myös syytä seurata lokeja, jos niistä huomaa milloin sitä kautta on murtauduttu? Lokit jännittävämpää seurattavaa kuin Netflix.

Parempi varmaan olisi julkisen IP:n kanssa olla erillinen rautapalomuuri ja jonkunlainen geoblokkaus. ssh:lle on fail2ban käytössä, mutta eipä se auta paljoa hajautettuun murtautumiseen (tai pitäisi tutkia enemmän sääntöjen tekoa). Nyt viikkoon fail2ban ei ole aktivoitunut, kun ssh:n portti on reilusti yli 10 000. Portti 2022 kokeiltiin melko nopeasti, liian helppo.
 

Statistiikka

Viestiketjuista
258 402
Viestejä
4 489 882
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom