Je kent je mail hosts je zegt dat het allemaal sterkte wachtwoorden zijn waaruit we kunnen opmaken dat ze of A allemaal van jezelf zijn.. B je bepaalde eisen afdwingt bij het opstellen van de wachtwoord of C denkt dat ze veilig zijn.
Laten we uitgaan van A of B dan great op roekeloos gebruik na zerodays, zwak DNS beheer of mitm na ben je relatief veilig. Je weet dat je logs groot worden dus ik neem aan dat je nu ook log rotate goed hebt geconfigureerd en opslag naar extern medium voor eventuele latere audit. Maar waarom de moeite nemen IP geo te checken als je fail2ban instelt. Aanvallen veranderen constant van locatie de tijd dat je je servers kon beschermen door preventief geo blocks te doen is al decenia voorbij. Nederland heeft een van de grootste aanvals ranges we staan meesta per jaar in de top 10. Je blocked ze incremental op poging, auto report ze en verder niks aan de info als de beheerder. Really niet je tijd waard. Update je lijsten en laat het beestje zijn werk doen daar is het voor ontwikkelt.
Waarom direct query vanuit de database als je fail2ban hebt. "fail2ban-client status sshd" vervang sshd met welke jail je hebt opgezet en je hebt je lijst. Of nog beter waarom niet een dag, week, maand report opzetten?
Waarom zou sshd blokkade gevaarlijk zijn. Je kunt je beheerder IP's preventief allowen voor root of andere rol als je sterke private keys hebt met passphrases. Daarna deny je ieder ander en er tussen maak je groepen aan voor wie beperkte sshd toegang nodig heeft maar geen root. Zelfs dan als je gebruik maakt van een carierhotel setup, VPS of dedicated DC hosting heb je nog bij de meeste directe console access of via een engineer in noodgevallen. We hebben zelf root sshd toegang uitstaan en schakelen het enkel in via een directe console via het datacenter als het nodig is met log wanneer dat gedaan wordt en door wie en actieve MFA. Scheelt je een enorme aanvals vector.
Het grootste gevaar in security is denken dat je ooit echt veilig bent. Als je niet slim bent zit je niet lang in deze business. Wil niet zeggen dat je slimmer bent of hoeft te zijn dan de gene die je aanvallen maar in situaties waar elke seconde dat iets mis gaat veel geld kost of schade veroorzaakt you better be smart enough. Zoals ik tegen ieder zeg die ooit in IT aan de slag wil wees voorbereid om elke dag uit eigen beweging te studeren. Als je niet van leren houdt is dit en wordt dit nooit je vak.
Mijn advies automatiseer je boel zet een SIEM op. Zet goede alert regels op voor events die belangrijk worden geacht. Je verspeeld veel te veel van je tijd met handmatig zoeken. Misschien leuk om te doen maar verstandig is het niet. Alles wat er niet doorgekomen is is geen echte bedreiging of dat er nu 2K zijn 160K of een miljoen zolang het niet je resources nadelig beinvloed en geen schade doet it really does not matter.
Door Anoniem: Zo jammer dat we allemaal hetzelfde doen.
Zou er nou 1 lijst beschikbaar zijn die we allemaal* kunnen vullen, dan heb je zo een botnet veel sneller nutteloos gemaakt.
Of een digitale politie waar je dit kan doorgeven en die onderzoek doet om die apparaten van het net te knikkeren zoals bv xs4all dat vroeger deed met hun eigen IPs die bijzondere dingen deden.
*) binnen je circle of trust van mailbeheerders die geen false positives opvoeren
Er zijn pletora aan lijsten die gedeeld worden tussen server owners ISP,s die je kunt aanvullen mits je je inschrijft en API of andere sync op zet. Echter botnets bestaan tegenwoordig uit miljoenen systemen het kost nu eenmaal tijd om de threshold waarde van zulke lijsten te bereiken voor het een block veroorzaakt. Je moet als beheerder ook enkel die zaken preventief blokkeren die het waard zijn voor je gebruikers. Je kan de halve wereld qua botnets preventief blokkeren maar je rekening van CPU, IOPS en geheugen verbruik gaat dan ook door het dak die je sooner or later moet doorberekenen. Het is een balans die je moet vinden.
Naast dat je bij te strenge beveiliging ook op positive results kan rekenen die je niet kan blokkeren omdat je gebruikers afhankelijk ervan zijn ook al zou je dat heel graag willen. De hoeveelheid lakse ISP's alleen al in Nederland qua hun IP reputatie management is beschamend. Als ik de strikste lijsten zou aanhouden zou rond 90% van Nederlands bekendste providers nu geblokkeerd zijn in enige vorm op ons netwerk. En je wilt niet weten hoe frustrerend en hoelang het kan duren voor je die partijen beweegt tot actie soms.