Come proteggere SSH con fail2ban

3128787858Fail2ban è un IPS, scritto in Python ed è in grado di funzionare su sistemi POSIX che dispongono di un firewall installato in locale (ad esempio, iptables o Wrapper TCP). I server esposti su internet sono spesso soggetti a numerosi attacchi tra cui tentativi di Brute Forse sul servizio di connessione ssh. fail2ban fornisce un modo per proteggere automaticamente tale servizio bannando gli indirizzi ip che cercano di forzare il vostro server. Il programma funziona attraverso la scansione dei file di log e reagisce alle azioni offensive, come i ripetuti tentativi di accesso non riusciti.

 

Continua a leggere

Controllo dell’accesso in base all’indirizzo MAC

Si desidera che solo una macchina particolare, identificata dal suo indirizzo MAC, può accedere al tuo sistema.

# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m mac --mac-source 12:34:56:89:90:ab -j ACCEPT
# iptables -A INPUT -j REJECT

ipchains non supporta questa funzionalità.

Questa tecnica funziona solo all’interno della vostra sottorete locale. Se si riceve un pacchetto da una macchina di fuori della subnet, conterrà l’indirizzo MAC del gateway, non quella della macchina originale.

Gli indirizzi MAC possono essere contraffatti. Supponiamo di avere una macchina chiamata pippo il cui indirizzo MAC è considerato attendibile dal vostro firewall. Se un intruso scopre questo fatto, e pippo è giù, l’intruso potrebbe prendere l’indirizzo mac di pippo e il vostro firewall non saprebbe nulla. D’altra parte, se è pippo durante lo spoofing è acceso, il suo kernel inizieràurlare” (via syslog) che il suo indirizzo mac è stato duplicato.