δημόσια διανομή μαύρης λίστας IP

Τεχνικές και μόνο Συζητήσεις για WEB hosting servers, Mail servers, DNS servers. Όχι αναζήτηση υπηρεσιών εδώ!

Συντονιστές: WebDev Moderators, Super-Moderators

Απάντηση
grspam
Δημοσιεύσεις: 15
Εγγραφή: 07 Μαρ 2010 15:19

δημόσια διανομή μαύρης λίστας IP

Δημοσίευση από grspam » 22 Δεκ 2017 12:17

Καλησπέρα,

Είμαι προγραμματιστής και ταυτόχρονα έχω (λόγο δουλειάς) στην κατοχή μου περίπου 50 server στην Linode, που τρέχω διάφορες εταιρικές εφαρμογές που παρέχω στους πελάτες μου, ιστοσελίδες web, και διάφορα HA clusters, haproxy μέχρι και Galera clusters.

Ένα από τα πολλά συστήματα ασφαλείας που έχω, είναι η καταγραφή επιθέσεων. Από απλές HTTP (sql injection, brute force, κλπ), μέχρι πιο επικίνδυνες και εξελιγμένες (0-day exploits, social engineering, SSL/TLS). Άρα σε όλους αυτούς τους server που καταγράφουν επιθέσεις μαζεύω μια καταπληκτική λίστα από IP (IPv4 και IPv6) διευθύνσεις στους firewall.

Εδώ είναι και το ερώτημα. Υπάρχει ενδιαφέρων από άλλους προγραμματιστές και διαχειριστές, να διανέμω αυτή τη λίστα; Αν υπάρχει ενδιαφέρων, θα μπορούσα να δώσω πρόσβαση σε ένα live σύστημα το οποίο θα κάνει αυτόματη διανομή και εγγραφή στον firewall των ενδιαφερόμενων. Κάτι σαν:

cluster honeypot/fail2ban/ossec/κλπ -> redis subscription and distribution (private) -> δημόσιος WebSockets/redis/κπλ server -> client firewalld στον server του κάθε ενδιαφερόμενου.

Άρα όταν αναγνωριστεί μια IP ως κακόβουλη, αυτομάτως θα διανεμηθεί στους firewall των server που είναι εγγεγραμμένοι. Θεωρώ πως αν υπάρχει ενδιαφέρων από τουλάχιστον 10 διαχειριστές τότε θα αξίζει η υλοποίηση του συστήματος.

Λοιπόν;

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3203
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Re: δημόσια διανομή μαύρης λίστας IP

Δημοσίευση από CyberCr33p » 23 Δεκ 2017 12:53

Θα πρότεινα να φτιάξεις μια RBL καθώς και export των ΙP σε plain text (π.χ. κάθε 1 ώρα) και από εκεί και πέρα ο καθένας να μπορεί να ρυθμίσει το firewall του.

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10249
Εγγραφή: 28 Ιούλ 2001 03:00

Re: δημόσια διανομή μαύρης λίστας IP

Δημοσίευση από Cha0s » 23 Δεκ 2017 15:11

Όπως αναφέρει και ο CyberCr33p, RBL & plain text, is the way to go.

Υπάρχει και η λύση του BGP feed αλλά συνήθως απευθύνεται περισσότερο σε ολόκληρα δίκτυα παρά σε μεμονωμένους servers (αν και φυσικά μπορεί να παίξει και σε μεμονωμένους servers).

Προσωπικά ωστόσο δεν θα χρησιμοποιούσα τέτοιες λίστες. Ο εκάστοτε διαχειριστής της κάθε λίστας αποκτά ιδιαίτερη «δύναμη» αφού μπορεί να προσθέσει πράγματα που δεν πρέπει στην λίστα (πχ τις IPs του ανταγωνιστή του) με ότι αυτό σημαίνει για όσους την χρησιμοποιούν.

Μία λίστα δηλαδή απαιτεί σοβαρό trust προς τον διαχειριστή της.

grspam
Δημοσιεύσεις: 15
Εγγραφή: 07 Μαρ 2010 15:19

Re: δημόσια διανομή μαύρης λίστας IP

Δημοσίευση από grspam » 27 Δεκ 2017 13:34

Δεν προτιμώ το RBL γιατί δεν μου αρέσει η επιπλέον εγκατάσταση ανά υπηρεσία. Δηλαδή, ξεχωριστά ένας client σε SMTP (postfix, κλπ), άλλος για HTTP (apache με mod_security, κλπ) και ούτω καθεξής. Σε επίπεδο firewall όλα είναι προστατευμένα.

Η καθυστέρηση τύπου poll ανά ώρα θεωρώ πως φέρει επιπλέον καθυστέρηση για κάτι που δεν πρέπει να έχει καθυστέρηση, ειδικά όταν η τεχνολογία push/subscribe μου επιτρέπει την άμεση διανομή IP στους firewall.

Το θέμα της εμπιστοσύνης είναι όντος ένα πρόβλημα, καθώς θα προτιμούσα να υπάρχουν και ξένα συστήματα με τη δυνατότητα να καταχωρούν διευθύνσεις.

Δεν βλέπω ενδιαφέρον, άρα θα προχωρήσω στην υλοποίηση τουλάχιστον για την προσωπική μου χρήση.

Ευχαριστώ για τις απαντήσεις σας.

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10249
Εγγραφή: 28 Ιούλ 2001 03:00

Re: δημόσια διανομή μαύρης λίστας IP

Δημοσίευση από Cha0s » 27 Δεκ 2017 17:27

Πάντως αν θες άμεση διανομή, η λύση είναι το BGP.

Αντί να ανακαλύπτεις τον τροχό, χρησιμοποίησε το πρωτόκολλο που τρέχει η δρομολόγηση όλου του Internet. Δοκιμασμένο και σταθερό εδώ και δεκαετίες.

Άβαταρ μέλους
changlee
Δημοσιεύσεις: 380
Εγγραφή: 13 Φεβ 2005 00:46
Τοποθεσία: Πειραιάς
Επικοινωνία:

Re: δημόσια διανομή μαύρης λίστας IP

Δημοσίευση από changlee » 12 Φεβ 2018 21:34

Αυτή η ανάγκη για άμεση διανομή των ΙΡs υπάρχει παγκοσμίως από όλους τους επαγγελματίες ιστοσελίδων. Το θέμα είναι ότι πρέπει να δημιουργήσουμε μια κοινότητα και να συνδράμομε όλοι σε αυτό το έργο, και να μην τρέχει ο ένας και οι άλλοι να απολαμβάνουν...
Τεχνολογική Ανάπτυξη (1μ.Χ. - 1975) = Τεχνολογική Ανάπτυξη (1975 - Σήμερα)

Μπορείτε να με βρείτε στην κατασκευή ιστοσελίδων BLB.gr | Δωρεάν Disavow File

Απάντηση

Επιστροφή στο “Apache, IIS, DNS Servers”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 5 επισκέπτες