Ik een datacenter heb ik een 50tal servers, voornamelijk Linux en een handje vol Windows servers. Op de linux servers draaien we tools welke IP adressen blokkeren als er een herhaalde portscan word gedaan en/of er een aantal foutieve logons worden gedaan binnen een bepaalde periode.
Heb je de ingestelde limiet bereikt dan beland het IP op een ban lijst en krijgt het betreffende IP een ban voor een dag voor die server. Soms zat er een false positive tussen en moest ik handmatig het geblokkeerde ip adres vrijgeven. Tot zover niets geks
Deze strategie heb ik onlangs aangepast. Nu worden de IP's naar onze mikrotik routers gestuurd en die blokkeren het IP voor alle servers. Waarvan ik onderscheid maak tussen IP adressen vanuit
- Nederland ban tijd 3 uur
- De landen om ons heen: ban tijd 6 uur
- Rest van europa: ban tijd 12 uur
- Rest van de wereld: ban tijd 3 dagen
Dat werkt best goed en ik ben er erg blij mee. Gemiddeld staan er 125 IP adressen op een ban lijst, dit heeft geen nadelige performance problemen. Gemiddeld worden er 93.000 connecties geblokkeerd per 24 uur (voornamelijk vanuit rusland, oekraine en china)
Ik heb een analyse gemaakt over de laatste 15 maanden en schrok nogal van de resultaten. (dit zijn de individuele bans, dus niet de centrale bans.) Er zijn 97 ip adressen die meer dan 250x gebanned zijn geweest over deze periode op de verschillende servers. 11 ip adressen zijn zelfs meer dan 1000x gebanned.
Ik zit er aan te denken om de ip adressen die veelvuldig gebanned worden op een permanente banlijst te zetten. Ik ben benieuwd naar jullie mening hier over...
Heb je de ingestelde limiet bereikt dan beland het IP op een ban lijst en krijgt het betreffende IP een ban voor een dag voor die server. Soms zat er een false positive tussen en moest ik handmatig het geblokkeerde ip adres vrijgeven. Tot zover niets geks
Deze strategie heb ik onlangs aangepast. Nu worden de IP's naar onze mikrotik routers gestuurd en die blokkeren het IP voor alle servers. Waarvan ik onderscheid maak tussen IP adressen vanuit
- Nederland ban tijd 3 uur
- De landen om ons heen: ban tijd 6 uur
- Rest van europa: ban tijd 12 uur
- Rest van de wereld: ban tijd 3 dagen
Dat werkt best goed en ik ben er erg blij mee. Gemiddeld staan er 125 IP adressen op een ban lijst, dit heeft geen nadelige performance problemen. Gemiddeld worden er 93.000 connecties geblokkeerd per 24 uur (voornamelijk vanuit rusland, oekraine en china)
Ik heb een analyse gemaakt over de laatste 15 maanden en schrok nogal van de resultaten. (dit zijn de individuele bans, dus niet de centrale bans.) Er zijn 97 ip adressen die meer dan 250x gebanned zijn geweest over deze periode op de verschillende servers. 11 ip adressen zijn zelfs meer dan 1000x gebanned.
Ik zit er aan te denken om de ip adressen die veelvuldig gebanned worden op een permanente banlijst te zetten. Ik ben benieuwd naar jullie mening hier over...