Рейтинг:0

Нужно ли запрещать вредоносный IP-адрес независимо от того, что по умолчанию брандмауэр настроен на запрет/отклонение?

флаг us

Я на Linux и использую fail2ban в качестве системы банов. На данный момент он собрал и заблокировал около 150 тысяч вредоносных IP-адресов, и я обеспокоен и задаюсь вопросом, не поглотит ли это изрядное количество ресурсов. Как я это вижу на вершина, у него относительно высокое процессорное время. Мои вопросы:

  1. Если заблокированных IP-адресов больше, то будет ли мой процессор потреблять больше ресурсов для фильтрации входящего соединения? (Мое беспокойство коренится в непроверенной идее, если ЦП должен сравнивать любой входящий IP-адрес с 150-тысячным списком банов для определения фильтрации.)
  2. Если я просто установлю для параметра брандмауэра по умолчанию значение «запретить/отклонить», не будет ли больше необходимости в блокировке системы? Или у меня должна работать система банов независимо? (если да, то по каким причинам?)
флаг cn
Bob
Это немного зависит от того, как эти IP-адреса забанены. Последовательная проверка отдельных правил сетевого фильтра является более «дорогой», чем использование «ipset» для хранения IP-адресов, но даже штрафы за первый вариант обычно не слишком суровы.
Рейтинг:0
флаг il
  1. если вы используете некоторые из "обычных" iptables запрет действий в fail2ban, на который можно было переключиться iptables-ipset или к nftables действие, например:
[ПО УМОЛЧАНИЮ]
banaction = iptables-ipset[type=multiport]
banaction_allports = iptables-ipset[type=allports]
[ПО УМОЛЧАНИЮ]
banaction = iptables-ipset-proto6
banaction_allports = iptables-ipset-proto6-allports
  1. что касается вопроса "отклонить/отклонить"...

    Хотя, должен признаться, я не совсем понимаю фразу «тогда банить систему больше не нужно» или, скорее, то, как некоторые настройки брандмауэра по умолчанию могут предотвратить это. Если порты прослушивателя все еще открыты и общедоступны.

    Любая система блокировки не нужна, если вы либо доверяете политикам надежных паролей, либо используете асимметричные ключи вместо паролей при аутентификации (так что брутфорс больше не имеет смысла) и определенную нагрузку за счет непрерывного обслуживания неудачных попыток аутентификации как ну и флуд в журналах для вас приемлем. Или, если вы переключитесь на какие-то строгие правила брандмауэра, вносящие в белый список только определенные адреса, или открывайте порты прослушивателя только по запросу (port-, http- или любые другие механизмы стука), чтобы ваши сервисы больше не были общедоступными.

Что касается «отбросить или отклонить», см. https://github.com/fail2ban/fail2ban/issues/2217#issuecomment-423248516 обсуждение.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.