nov 012011
 

sshguardHo già parlato di fail2ban e logcheck, 2 strumenti in grado di eseguire una scansione dei vostri log e fare delle azioni, basandosi su regole che potete dare/modificare, di solito modificare le regole di iptables per fermare gli attacchi attivi contro il server o semplicemente inviare un messaggio di avviso se qualche cosa si trova nei log.

Oggi vedremo uno strumento simile, sshguard , è diverso dagli altri due in quanto è scritto in C, quindi usa meno memoria e CPU durante l’esecuzione pur ottenendo gli stessi risultati.
Continue reading »

flattr this!

apr 192011
 

fail2ban

Come commento dell’articolo “Knockd, per garantire la sicurezza delle porte”, ho ricevuto:
“Usare knockd è una cattiva idea: una pessima idea.

“Knockd è, alla fine, una password. Un’unica password sniffable che è soggetta ad attacchi di tipo man-in-the-middle e quindi non si possono usare nemmeno one-time-password ed essere sicuri.

Coppie di chiavi Pubbliche/private  e/o one-time-password (Opie, skey e simili) sono le soluzioni reali, insieme al monitoraggio dinamico per prevenire attacchi DOS che portino all’esaurimento delle risorse CPU. (OpenBSD PF incorpora una bella soluzione, così come iptables con fail2ban/denyhosts/etc. Anche swatch può fare miracoli.) ”

Ebbene, a mio parere knockd è uno strato ulteriore di sicurezza, forse sottile ma comunque può salvare da alcuni script che tentano attacchi del tipo forza bruta e quindi aggiunge un po’ di sicurezza alla vostra soluzione, in questo articolo vi mostrerò fail2ban che aggiunge un altro strato di sicurezza ai nostri servizi esposti in rete. Continue reading »

flattr this!