Toon posts:

Hacking attempts van rusland

Pagina: 1
Acties:

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Hallo tweakers,

Sinds woensdag merk ik op dat er heel veel hacking attempts komen van Rusland, ik wilde graag weten of jullie dit ook merken op jullie webservers of privé routers?

Ik heb nu een countryban gezet op mijn privérouter (asus merlin) voor alles van Rusland & China te blokkkeren vermits het meeste van die twee landen kwam. Volgens de portscans zijn ze op zoek achter vulnerabilities, waarschijnlijk voor zoveel mogelijk bots te maken voor een aanval uit te voeren.

Ik heb bijvoorbeeld deze ip al een paar keer zien portscans uitvoeren:
https://otx.alienvault.com/indicator/ip/91.240.118.73

Voor mijn webservers heb ik cloudflare ook countrybans ingesteld voor RU & CN, ik raad jullie aan om voorzorgen te nemen.

Totale lijst dat ik blacklist:
AE,AF,BH,BY,CN,HK,IR,KP,KZ,MM,RU,SA,SY,SC,BG,PL,BR,TR,EG

[Voor 6% gewijzigd door sebastienbo op 22-01-2023 20:01]


  • Jeffrey87
  • Registratie: Februari 2016
  • Laatst online: 12-01 08:33
Heb je deze scans niet altijd al gehad?

Ik ben niet anders gewend dan dat mijn thuis IP en VPS continu geprobed worden vanaf Russische en Chinese IP's.

  • HKLM_
  • Registratie: Februari 2009
  • Nu online
Die scanns heb ik iig altijd al wel gehad GeoBlock of ip ranges blokken helpen wel om de boel wat te filteren.

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Jeffrey87 schreef op donderdag 24 februari 2022 @ 23:09:
Heb je deze scans niet altijd al gehad?

Ik ben niet anders gewend dan dat mijn thuis IP en VPS continu geprobed worden vanaf Russische en Chinese IP's.
Vroeger waren het voornamelijk chinese Ip ranges die portscans uitvoerden naar vulnerabilities, china had ik dus al geblokeerd. Rusland had ik volgens de logs maar af en toe eens. Maar sinds deze week is dat 20 a 30 keer per dag.En ik merk dezelfde trend op al mijn public ip adressen van mijn webservers.Het lijkt er op dat ze alle EU ip adressen af aan het gaan zijn.

Ik denk dat ik ook Belarus (BY) (wit rusland) ga moeten blokkeren, want ook van daar beginnen er binnen te komen sinds deze ochtend.

Bij mijn klanten werd dit ook al gemeld en zijn ze ook al begonnen met die ranges te blokkeren.
IP bans zijn veel efficiënter dan de connectie te laten evalueren door de firewall (deep packet inspection)

[Voor 20% gewijzigd door sebastienbo op 06-03-2022 22:04]


  • FuaZe
  • Registratie: April 2014
  • Laatst online: 20:24
Wellicht is Rusland het niet eens met de sancties van EU of willen ze NAVO/EU/Oekraïne destabiliseren.

Het zou niet bijzonder zijn als ze om de bovenstaande redenen een botnet uit de kast hebben getrokken om heel EU te scannen.

Nu blijft het allemaal speculeren, maar uitgaande op jou bevindingen, is de timing wel opvallend.

  • MrMaxedTank
  • Registratie: September 2011
  • Laatst online: 21:15
Of het uit Rusland komt weet ik niet maar ik zie wel dat ze mijn RPI eindelijk (weer) opgemerkt hebben:

<redacted>@rpi4:/var/log $ ls -lh fail*
-rw-r----- 1 root adm 12M Feb 25 09:47 fail2ban.log
-rw-r----- 1 root adm 45M Feb 20 00:00 fail2ban.log.1
-rw-r----- 1 root adm 787K Feb 13 00:00 fail2ban.log.2.gz
-rw-r----- 1 root adm 105 Jan 30 00:00 fail2ban.log.3.gz
-rw-r----- 1 root adm 167 Jan 26 14:11 fail2ban.log.4.gz

Zal eens kijken of ik mijn scriptje om alle ip-adressen door een API te trekken nog heb, zodat ik kan zien waar het vandaan komt. Een aantal jaren geleden bande een andere PI van me ongeveer 200 adressen per dag, destijds was het ongeveer 66% uit Chine (Shenzen voornamelijk).

Edit: 4470 unieke ip-adressen tot zover deze maand

[Voor 3% gewijzigd door MrMaxedTank op 25-02-2022 10:09]


  • Jeffrey87
  • Registratie: Februari 2016
  • Laatst online: 12-01 08:33
Eerste stap om het aantal scans te verminderen is uiteraard het aanpassen van de standaard SSH poort 22 naar een andere poort. Tweede stap, die het aantal scans niet vermindert, maar wel de kans dat ze er in komen, is het uitschakelen van plain text logins, en alleen SSH keys toestaan.

Maar iedere weldenkende sysadmin zou dat inmiddels wel moeten weten ;)

[Voor 28% gewijzigd door Jeffrey87 op 25-02-2022 11:36]


  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Ik vind dat niet de eerste stap, bij jouw stap zijn de hackers al tot op je machine/firewall/router geraakt en zijn ze er al mee aan het spreken. Ze zijn dus al cpu en ram aan het gebruiken van je toestel, door elke keer een poort te proben, worden er packetten gestuurt naar je machines die dat moeten evalueren.
Poorten zitten op osi layer 7, ze hebben dus al de hele stack doorgelopen en konden overal zwakheden zoeken of service denial attack uitvoeren voor je cpu of ram uit te persen gelijk een citroen.

Bij een IP ban stopt het onmiddelijk op basis van de source adress, de andere osi layers worden niet geopend.
Mijn eerste ding dat ik altijd doe is, zorgen dat onveilige adressen (geoblocking of RBL lists) nooit tot bij mij geraken. Nadien isntalleer ik services zoals ssh, en dan zet ik die op niet conventionele poorten, en uiteraard verander je de admin username direct naar iets anders dan root of admin :-)

[Voor 5% gewijzigd door sebastienbo op 25-02-2022 11:43]


  • Keyb
  • Registratie: Februari 2022
  • Laatst online: 26-01 14:59
sebastienbo schreef op donderdag 24 februari 2022 @ 22:11:
Hallo tweakers,

Sinds woensdag merk ik op dat er heel veel hacking attempts komen van Rusland, ik wilde graag weten of jullie dit ook merken op jullie webservers of privé routers?

Ik heb nu een countryban gezet op mijn privérouter (asus merlin) voor alles van Rusland & China te blokkkeren vermits het meeste van die twee landen kwam. Volgens de portscans zijn ze op zoek achter vulnerabilities, waarschijnlijk voor zoveel mogelijk bots te maken voor een aanval uit te voeren.

Ik heb bijvoorbeeld deze ip al een paar keer zien portscans uitvoeren:
https://otx.alienvault.com/indicator/ip/91.240.118.73

Voor mijn webservers heb ik cloudflare ook countrybans ingesteld voor RU & CN, ik raad jullie aan om voorzorgen te nemen.
Hoe heb jij de countryban opgezet? Op basis van welke lijst oid?

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Er zijn verschillende, maxmind etc.. maar ik gebruik die van https://www.ipdeny.com/ipblocks/
Je kan ook zelf lijsten maken :
https://www.countryipblocks.net/
maar dan is het niet dynamisch of je moet een autoupdate scriptje maken
Nu dat het niet dynamisch is, is eigenlijk niet meer zo erg als vroeger, omdat IPv4 adressen op zijn, bewegen ze niet veel meer :-) De providers en landen klammen zich vast aan de ranges dat ze hebben.
Voor IPv6 is dat een ander verhaal...

Vandaar dat een cdn zoals cloudflare ook wel leuk en gratis is, maar het beschermt je IP uiteraard niet...enkel dns requests worden dan beveiligd. Voor je IP te beveiligen moet je een betalend pakket kopen bij cloudflare.

[Voor 20% gewijzigd door sebastienbo op 25-02-2022 12:03]


  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 19:01

jurroen

Security en privacy geek

sebastienbo schreef op vrijdag 25 februari 2022 @ 12:02:
Vandaar dat een cdn zoals cloudflare ook wel leuk en gratis is, maar het beschermt je IP uiteraard niet...enkel dns requests worden dan beveiligd. Voor je IP te beveiligen moet je een betalend pakket kopen bij cloudflare.
Dus je krijgt er geld voor ? :+

Maar serieus, tenzij jij zaken host doet CF sowieso niet zoveel. En met een VPN/tunnel verplaats je het probleem alleen maar.

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
jurroen schreef op vrijdag 25 februari 2022 @ 12:07:
[...]

Dus je krijgt er geld voor ? :+

Maar serieus, tenzij jij zaken host doet CF sowieso niet zoveel. En met een VPN/tunnel verplaats je het probleem alleen maar.
Eigenlijk vind ik dat cloudflare toch wel veel voor mij betekend.
Mijn webserver antwoord niet op webrequests zonder fqdn, anders weet hij niet uit welke virtual host hij paginas moet serveren. Met de FQDN zijn ze verplicht om via mijn dns te gaan (cloudflare in mijn geval)
Van de slag kan ik die country blocks doen, maar wat ik nog handiger vind, is dat ik mijn admin paginas kan beschermen achter een anti-bot CAPTCHA. Bij mij bijvoorbeeld worden een paar landen geblocked, daarnaast heb ik ook een rule gezet dat als iemand op mijn admin paginas probeerd te geraken en niet in europa is, geblockd word, en als je niet van de Benelux ip adress komt, dan word er een human verification gedaan.

Nota: Dit verhaal beschermd uiteraard enkel mijn webserver poorten, al de rest staat nog altijd in zijn blootje. Vandaar dat een goede firewall nog altijd nodig is en geoblocking buiten europa veel zorgen kan besparen.

[Voor 10% gewijzigd door sebastienbo op 25-02-2022 12:19]


  • Grvy
  • Registratie: Juni 2008
  • Nu online

Grvy

Bot

Jeffrey87 schreef op vrijdag 25 februari 2022 @ 11:35:
Eerste stap om het aantal scans te verminderen is uiteraard het aanpassen van de standaard SSH poort 22 naar een andere poort. Tweede stap, die het aantal scans niet vermindert, maar wel de kans dat ze er in komen, is het uitschakelen van plain text logins, en alleen SSH keys toestaan.

Maar iedere weldenkende sysadmin zou dat inmiddels wel moeten weten ;)
Nou.. nee. Poorten aanpassen (security through obscurity) wordt al vele jaren gezien als een bad practice.
En daarnaast hebben de huidige hacking tools daar helemaal geen boodschap meer aan.

Dat is hetzelfde als mensen die denken dat ze veilig zijn omdat ze poort 3389 (RDP) veranderen.. dat is dus niet zo.

Dit is een account.


  • zeroday
  • Registratie: Mei 2007
  • Laatst online: 17:54

zeroday

Dream within a dream

alle poortjes die anders zijn dan 80 of 443 en ik nodig heb zijn alleen of intern bereikbaar of voor bekende IP adressen. De rest is DENY en/of DROP

wil ik ergens bij dan maar een VPN opzetten;)

There are no secrets, only information you do not yet have


  • Jeffrey87
  • Registratie: Februari 2016
  • Laatst online: 12-01 08:33
Grvy schreef op vrijdag 25 februari 2022 @ 12:16:
[...]


Nou.. nee. Poorten aanpassen (security through obscurity) wordt al vele jaren gezien als een bad practice.
En daarnaast hebben de huidige hacking tools daar helemaal geen boodschap meer aan.

Dat is hetzelfde als mensen die denken dat ze veilig zijn omdat ze poort 3389 (RDP) veranderen.. dat is dus niet zo.
Zeg ik dat dit het probleem oplost? Nee!
Vermindert dit het aantal scans? Ja, aanzienlijk.
Scans vinden voornamelijk plaats op default poorten.

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 19:01

jurroen

Security en privacy geek

sebastienbo schreef op vrijdag 25 februari 2022 @ 12:12:
[...]


Eigenlijk vind ik dat cloudflare toch wel veel voor mij betekend.
Mijn webserver antwoord niet op webrequests zonder fqdn,
Dat is dus exact wat ik zei: tenzij je zaken host :) Als je een beetje een firewall er tussen hebt zitten zou je ook nog kunnen instellen dat de 80/tcp en 443/tcp alleen beantwoord worden aan CloudFlare.

En verder zou ik al het andere inkomende verkeer droppen. Misschien nog iets voor remote maintenance (SSH/VPN?) en dat ook nog beperken tot een paar IP adressen.

  • PetervdM
  • Registratie: Augustus 2007
  • Niet online
valt wel mee. het was even druk rond chinees nieuwjaar, maar wat mij meer zorgen baart is dat een toenemend aantal "attacks" van huurservers komt ( amazon ed ). dat is natuurlijk veel lastiger te blocken, voor een paar euro huur je al een server voor een dag of wat, en die staat niet noodzakelijkerwijs in je "eigen" land.
heb even gekeken, en sinds kerstmis heb ik 595 min of meer serieuze aanvallen gehad, variërend van uiterst stompzinnig tot redelijk geraffineerd.

  • FrankHe
  • Registratie: November 2008
  • Laatst online: 10:45
Dergelijk verkeer is van alle tijden. Onlangs heb ik hier de Geoblock fors uitgebreid met een selectie van landen met nare regimes. Een kleine bloemlezing:
  • UAE
  • Afghanistan
  • Bahrain
  • Belarus
  • China
  • Hong Kong
  • Iran
  • North Korea
  • Kazakhstan
  • Myanmar (Burma)
  • Russian Federation
  • Saudi Arabia
  • Syria

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
FrankHe schreef op vrijdag 25 februari 2022 @ 13:55:
Dergelijk verkeer is van alle tijden. Onlangs heb ik hier de Geoblock fors uitgebreid met een selectie van landen met nare regimes. Een kleine bloemlezing:
  • UAE
  • Afghanistan
  • Bahrain
  • Belarus
  • China
  • Hong Kong
  • Iran
  • North Korea
  • Kazakhstan
  • Myanmar (Burma)
  • Russian Federation
  • Saudi Arabia
  • Syria
Fantastische lijst, ik heb mijn geoblocks aangepast.

  • ybos
  • Registratie: Juni 2013
  • Laatst online: 20:41
Domme vraag van een leek hier (vind de materie wel interessant).
Als ze die scans via een VPN doen, werken dan die geo blocks wel :?
(Stel ze pakken een VPN uit een land die niet op de lijst staat)

  • sOid
  • Registratie: Maart 2004
  • Niet online
ybos schreef op vrijdag 25 februari 2022 @ 14:02:
Domme vraag van een leek hier (vind de materie wel interessant).
Als ze die scans via een VPN doen, werken dan die geo blocks wel :?
(Stel ze pakken een VPN uit een land die niet op de lijst staat)
Nee.

Maar zo'n geoblock blockt alsnog wel een hoop ongewenst verkeer.

Voor mikrotik (RouterOS) zijn er trouwens verschillende tools/handleidingen die hierbij helpen.
- https://mikrotikconfig.com/firewall/
- https://www.daryllswer.co...imisation-guide-for-isps/
- https://blog.erben.sk/2014/02/06/country-cidr-ip-ranges/

Heb hier nog geen ervaring mee. Ging googelen naar aanleiding van dit topic. Op m'n verschillende devices wel geoblocks op de firewalls gezet, maar op router nog niet. Mooi weekendprojectje ;)

[Voor 38% gewijzigd door sOid op 25-02-2022 14:10]


  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
sOid schreef op vrijdag 25 februari 2022 @ 14:08:
[...]

Nee.

Maar zo'n geoblock blockt alsnog wel een hoop ongewenst verkeer.
Het blokkeert heel veeel trafiek, maar als de vpn gelegen is binnen een zone waar je wel trafiek van toelaat, dan kunnen ze inderdaad je poorten scannen.
Stel dat een chinees een vpn gebruik van amazon us, en dat jij US geblokkeerd hebt, dan zal dat niet tot bij jou geraken. Maar stel dat Frankrijk wel op je ALLOW lijst staat, dan kunnen ze via daar wel scannen.
Nu is het zo, dat portscanning via vpn niet op grote schaal gedaan kan worden, want het brengt een hoop latency door alle hops dat ze zullen moeten doen via VPN, en omdat portscans continue kleine messages zijn. Er onstaat dan overhead. Als je een film kijkt via een vpn of een website dan worden al die paketten gestuurt op basis van 1 request. Dus bestaat je latency maar 1 keer. Maar als je 65.000 poorten wil scannen van 1 server dan zal dat een pak tijd nemen door dat je 65.000 requests moet sturen en elke keer moet wachten op replies. Een gerichte aanvaller zal dat misschien gebruiken een VPN, maar bots niet, want hoe langer ze bezig zijn hoe meer kans dat ze gedetecteerd worden. TCP conenction negociation response time op 1 second zetten zou zo 130.000 seconden duren voor dat ze je gescand hebben :-) VOor eeng ewone gebruiker is 1 second niet erg voor de tcp handshake. Al de andere pakettten reizen binnen dezelfde TCP verbinding dus zullen die geen vertraging hebben.

Dat allemaal voor te zeggen, dat vpn weinig gebruikt word voor portscans te doen. En hoe meer je blokkeerd hoe minder kans dat ze een vpn server gaan vinden die wel tot bij jou geraakt.

RBL lists is trouwens ook iets interessant, dat zijn ip adressen die aangegeven zijn als misbruik. VPN servers die portscans doen eindigen vaak op die RBL lijsten. Of servers die spam sturen, Of servers die malware bevatten,etc..
RBL lijsten zijn ook gewoon IP lijsten die je kan blokkeren

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
Ik gebruik dit: https://github.com/trick77/ipset-blacklist, en daarnaast Fail2ban.

[Voor 6% gewijzigd door NimRod1337 op 25-02-2022 14:25]


  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
sebastienbo schreef op vrijdag 25 februari 2022 @ 13:56:
[...]


Fantastische lijst, ik heb mijn geoblocks aangepast.
Dit kan ook via Ipset. Zie link.

[Voor 9% gewijzigd door NimRod1337 op 25-02-2022 14:27]


  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
sebastienbo schreef op vrijdag 25 februari 2022 @ 14:21:
[...]

RBL lists is trouwens ook iets interessant, dat zijn ip adressen die aangegeven zijn als misbruik. VPN servers die portscans doen eindigen vaak op die RBL lijsten. Of servers die spam sturen, Of servers die malware bevatten,etc..
RBL lijsten zijn ook gewoon IP lijsten die je kan blokkeren
RBL relateer ik uitsluitend aan SMTP. Deze zijn voor gebruik in een MTA, niet in een firewall.

[Voor 5% gewijzigd door NimRod1337 op 25-02-2022 14:28]


  • sOid
  • Registratie: Maart 2004
  • Niet online
@sebastienbo Interessant, dank voor je uitleg. Nooit bij stilgestaan dat latency problemen oplevert bij portscans via VPN. Ook wel logisch nu ik dit zo lees.

Worden er eigenlijk ook wel portscans via botnets uitgevoerd? Dus poorten 1-1000 via een geïnfecteerde PC in Frankrijk en poort 1000-2000 via een geïnfecteerde PC in Duitsland?

  • Harm_H
  • Registratie: Juli 2008
  • Laatst online: 30-01 10:57
Mijn NAS werd in 2018 een enkele keer 'gevonden' door Russische hackers, maar na het aanpassen van mijn port niet meer.

95% van de gevallen op te lossen door gezond verstand:
geen default username
geen defualt password
geen default port (is iets moeilijker, inclusief automatisch doorsturen naar juiste port weghalen)

Alles wat vanuit het internet toegankelijk is moet een heel specifieke set instructies hebben, dus https://tweakers.net/portaal:3901 waarbij https://tweakers.net/portaal niets doet

[Voor 31% gewijzigd door Harm_H op 25-02-2022 14:36]

Mijn tweakblog over de toekomst


  • sOid
  • Registratie: Maart 2004
  • Niet online
Harm_H schreef op vrijdag 25 februari 2022 @ 14:32:
Mijn NAS werd in 2018 een enkele keer 'gevonden' door Russische hackers, maar na het aanpassen van mijn port niet meer.

95% van de gevallen op te lossen door gezond verstand:
geen default username
geen defualt password
geen default port (is iets moeilijker)
Dat is natuurlijk vooral zo als kwaadwillenden binnen willen komen door credentials te onderscheppen/gebruiken. Je vergeet trouwens nog het inschakelen van MFA en, waar mogelijk/nodig, SSH keys. En IP block na x foutieve inlogpogingen.

Maar als er een andere kwetsbaarheid is, waarbij credentials volledig omzeild kunnen worden (Log4j oid), heb je toch ook echt andere maatregelen nodig.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
Harm_H schreef op vrijdag 25 februari 2022 @ 14:32:
Mijn NAS werd in 2018 een enkele keer 'gevonden' door Russische hackers, maar na het aanpassen van mijn port niet meer.

95% van de gevallen op te lossen door gezond verstand:
geen default username
geen defualt password
geen default port (is iets moeilijker, inclusief automatisch doorsturen naar juiste port weghalen)
Heeft weinig zin. Met nmap heb je de lijst open poorten op jouw nas in 10 seconden te pakken. Dan zie je de http header bv op poort 8081 ipv 80. En de rest. DM je IP maar, dan krijg je een lijstje wat er nu open staat :)

[Voor 5% gewijzigd door NimRod1337 op 25-02-2022 14:40]


  • Joyous-P
  • Registratie: Februari 2021
  • Laatst online: 21:29
sebastienbo schreef op donderdag 24 februari 2022 @ 22:11:
Ik heb nu een countryban gezet op mijn privérouter (asus merlin) voor alles van Rusland & China te blokkkeren ..
Hoe zet je dat eigenlijk in elkaar voor ASUS merlin?

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
NimRod1337 schreef op vrijdag 25 februari 2022 @ 14:27:
[...]

RBL relateer ik uitsluitend aan SMTP. Deze zijn voor gebruik in een MTA, niet in een firewall.
Dat is inderdaad waar RBL's intieel voor gebruikt werden, maar intussen heb je dus ook lijsten die niet enkel spam servers identificieren maar ook malware servers,DDOS servers,etc..
https://www.icann.org/fr/...s-everywhere-1-11-2017-en

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Harm_H schreef op vrijdag 25 februari 2022 @ 14:32:
Mijn NAS werd in 2018 een enkele keer 'gevonden' door Russische hackers, maar na het aanpassen van mijn port niet meer.

95% van de gevallen op te lossen door gezond verstand:
geen default username
geen defualt password
geen default port (is iets moeilijker, inclusief automatisch doorsturen naar juiste port weghalen)

Alles wat vanuit het internet toegankelijk is moet een heel specifieke set instructies hebben, dus https://tweakers.net/portaal:3901 waarbij https://tweakers.net/portaal niets doet
Bij nas servers raad ik ook altijd aan om UPNP uit te zetten, want anders kan de nas zo maar poorten gaan openzetten op je router.Zonder dat je het weet eheft één of andere update een nieuwe service geinstalleerd en komt het autopmatisch op het internet door upnp. Ikzelf heb upnp ook uitgezet op de router.

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Joyous-P schreef op vrijdag 25 februari 2022 @ 14:41:
[...]

Hoe zet je dat eigenlijk in elkaar voor ASUS merlin?
1) installeer de laatste versie van merlin
2) ssh op je router en start "amtm"
3) sluit een usb stick aan partitioneer in 50/50 (ext4 paritite / data partitie)
4) creeer een swap file op de ext4 partitie
5) installeer skynet

Optioneel:
6) Installeer diversion (als je geen ads/malware meer wil op devices in je netwerk) , dit is wel wat moeilijker en raad ik enkel aan als je wat kent van netwerken en subnets en ip reservaties.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
https://github.com/ipverse/rir-ip/tree/master/country/ru

9 uur geleden geupdate en voor veel landen is er een aparte list in die github te vinden.

Deze blacklist wordt in dit script toegepast: https://github.com/trick77/ipset-blacklist

Ansible deployment yaml meegeleverd.

[Voor 13% gewijzigd door NimRod1337 op 25-02-2022 15:40]


  • sOid
  • Registratie: Maart 2004
  • Niet online
NimRod1337 schreef op vrijdag 25 februari 2022 @ 14:37:
[...]

Heeft weinig zin. Met nmap heb je de lijst open poorten op jouw nas in 10 seconden te pakken. Dan zie je de http header bv op poort 8081 ipv 80. En de rest. DM je IP maar, dan krijg je een lijstje wat er nu open staat :)
Toch kan het zinvol zijn voor bijvoorbeeld tools als shodan. HomeAssistant draait bijvoorbeeld op poort 8123. Stel dat er een beveiligingslek voorkomt, dan is het heel eenvoudig om via shodan te scannen op poort 8123, waarop dus veel HA-installaties draaien.

Als je er 8332 of whatever van maakt, ben je dus minder snel doelwit in dit soort scenario's.

Als jij doelgericht wordt getarget is het natuurlijk een ander verhaal.

  • bakkerl
  • Registratie: Augustus 2001
  • Nu online

bakkerl

Let there be light.

NimRod1337 schreef op vrijdag 25 februari 2022 @ 14:37:
[...]

Heeft weinig zin. Met nmap heb je de lijst open poorten op jouw nas in 10 seconden te pakken. Dan zie je de http header bv op poort 8081 ipv 80. En de rest. DM je IP maar, dan krijg je een lijstje wat er nu open staat :)
Juist met die poortscans moet je gaan trollen....
50% kans dat je op de blacklist staat na 3 poortjes scannen.
50% kans dat je op je poort scan na 3 poortjes scannen je op *alle* poorten een http header terug krijgt.

En TCP connecties tarpitten ipv droppen is ook wel leuk.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
bakkerl schreef op vrijdag 25 februari 2022 @ 19:30:
[...]


Juist met die poortscans moet je gaan trollen....
50% kans dat je op de blacklist staat na 3 poortjes scannen.
50% kans dat je op je poort scan na 3 poortjes scannen je op *alle* poorten een http header terug krijgt.

En TCP connecties tarpitten ipv droppen is ook wel leuk.
Was puur ter illustratie bedoeld. Security by obscurity is niet voldoende.

  • Onoffon
  • Registratie: April 2006
  • Laatst online: 12-01 18:19
Je zou bijna gaan werken met een whitelist i.p.v. een blacklist voor de IP ban, 😁

Just a simple thought....


  • Keyb
  • Registratie: Februari 2022
  • Laatst online: 26-01 14:59
Onoffon schreef op zaterdag 26 februari 2022 @ 08:09:
Je zou bijna gaan werken met een whitelist i.p.v. een blacklist voor de IP ban, 😁
Ik zat die lijst te bekijken en dat was precies wat bij mij boven kwam drijven. Waarom niet gewoon een paar landen whitelisten. Voor een klant van mij die redelijk lokaal werkt ga ik dat waarschijnlijk wel doen ja.

  • king006
  • Registratie: April 2018
  • Laatst online: 21:24
Ik gebruik een Firewall inderdaad waar je gewoon landen in toegevoegd en hij doet de rest :)

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Keyb schreef op zaterdag 26 februari 2022 @ 09:43:
[...]


Ik zat die lijst te bekijken en dat was precies wat bij mij boven kwam drijven. Waarom niet gewoon een paar landen whitelisten. Voor een klant van mij die redelijk lokaal werkt ga ik dat waarschijnlijk wel doen ja.
Whitelisting is inderdaad de beste oplossing, je zegt bijvoorbeeld enkel IP's van europa toe te laten.

Grote bedrijven die internationaal bezoekers willen, die kunnen dat wel niet toepassen.

Er is ook nog een andere strategie, je kan geoip redirection toepassen. Stuur redirects van onvertrouwde sources naar een server waar ze niet veel kwaad kunnen doen, maar wel je site kunnen zien.
Read only versie van je site, op een extra beveiligde server.

[Voor 4% gewijzigd door sebastienbo op 26-02-2022 09:50]


  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 20:26

Frozen

2e Reviewer van het Jaar

Ik heb dit topic aandachtig gelezen en kom tot de conclusie dat het vooral lijkt te gaan om de privérouter van de topicstarter. Dat is natuurlijk heel erg naar, en de topicstarter geeft aan:
ik raad jullie aan om voorzorgen te nemen.
Nu vraag ik mij af hoe ik mij het beste kan verdedigen tegen dit soort gekkigheid. Ik heb bijvoorbeeld:
pricewatch: ASUS RT-AX53U
pricewatch: Raspberry Pi Zero W
en nog een ongebruikte Pi 4B 2G.

Kunnen jullie mij misschien aanraden, anders dan
geen default username
geen defualt password
aangegeven door @Harm_H ?

Ik doel dan bijvoorbeeld op tutorials voor het wijzigen van die standaard port (waar moet die bijvoorbeeld naar gewijzigd worden, etc), misschien een PiHole als dat zou helpen, tips en trics? Ik ben dan wel een techie, maar van networksecurity heb ik weinig gegeten.

[Voor 14% gewijzigd door Frozen op 26-02-2022 19:05]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!


  • htn02
  • Registratie: December 2004
  • Laatst online: 19:11
Mijn tactiek is inderdaad ook gewoon te kijken welke landen moeten er bij kunnen? die staan gewhitelist, en de rest wordt gewoon niet op geantwoord.

Ik gebruik de Palo Alto functionaliteit hiervoor, dat werkt top.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
htn02 schreef op dinsdag 1 maart 2022 @ 10:00:
Mijn tactiek is inderdaad ook gewoon te kijken welke landen moeten er bij kunnen? die staan gewhitelist, en de rest wordt gewoon niet op geantwoord.

Ik gebruik de Palo Alto functionaliteit hiervoor, dat werkt top.
Welke functionaliteit is dat precies?

Hier staan veel country blacklists: https://github.com/ipverse/rir-ip Ik gebruik deze in iptables via ipset, update elke 4 uur met dit script: https://github.com/trick77/ipset-blacklist

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
NimRod1337 schreef op donderdag 3 maart 2022 @ 12:38:
[...]

Welke functionaliteit is dat precies?

Hier staan veel country blacklists: https://github.com/ipverse/rir-ip Ik gebruik deze in iptables via ipset, update elke 4 uur met dit script: https://github.com/trick77/ipset-blacklist
Elke 4 uur lijkt me enorm aggresief, IPV4 ip adressen veranderen niet meer van land, omdat ze niet meer gekocht of verkocht worden door tekorten. Elk land houd zich daardoor vast aan de ranges die ze hebben.

Maak eens een diff van je geoip lijsten, en vergelijk ze een week later, je zal zien dat niet veel veranderd zal zijn (of zelfs niks).

IPV6 is een ander verhaal. Heb je daar geoip blocking voor?

[Voor 4% gewijzigd door sebastienbo op 03-03-2022 12:42]


  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
sebastienbo schreef op donderdag 3 maart 2022 @ 12:41:
[...]


Elke 4 uur lijkt me enorm aggresief, IPV4 ip adressen veranderen niet meer van land, omdat ze niet meer gekocht of verkocht worden door tekorten. Elk land houd zich daardoor vast aan de ranges die ze hebben.

Maak eens een diff van je geoip lijsten, en vergelijk ze een week later, je zal zien dat niet veel veranderd zal zijn (of zelfs niks).

IPV6 is een ander verhaal. Heb je daar geoip blocking voor?
Heb je al gekeken? Die lijsten veranderen meerdere keren per dag https://github.com/ipverse/rir-ip.

IPv6 staat nagenoeg dicht bij mij.

[Voor 11% gewijzigd door NimRod1337 op 03-03-2022 12:49]


  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
NimRod1337 schreef op donderdag 3 maart 2022 @ 12:47:
[...]

Heb je al gekeken? Die lijsten veranderen meerdere keren per dag https://github.com/ipverse/rir-ip.

IPv6 staat nagenoeg dicht bij mij.
Je moet de lijsten exporteren zonder gps locaties, want die kunnen wel nog veranderen.
Je moet een lijst maken met enkel ip/subnet+countrycode
Het kan ook zijn dat je een kolom met update dates hebt, die veranderen natuurlijk elke keer waardoor je bestanden elke keer aangepast LIJKEN . (je kan dus best een diff compare doen voor te zien WAT er veranderd is aan je lijst)

[Voor 22% gewijzigd door sebastienbo op 03-03-2022 12:53]


  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
sebastienbo schreef op donderdag 3 maart 2022 @ 12:50:
[...]


Je moet de lijsten exporteren zonder gps locaties, want die kunnen wel nog veranderen.
Je moet een lijst maken met enkel ip/subnet+countrycode
Ik maak zelf geen lijsten, ik importeer deze vanuit deze github https://github.com/ipverse/rir-ip, die lijsten met subnets veranderen dagelijks meerdere keren.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
sebastienbo schreef op donderdag 3 maart 2022 @ 12:50:
[...]


Je moet de lijsten exporteren zonder gps locaties, want die kunnen wel nog veranderen.
Je moet een lijst maken met enkel ip/subnet+countrycode
Het kan ook zijn dat je een kolom met update dates hebt, die veranderen natuurlijk elke keer waardoor je bestanden elke keer aangepast LIJKEN . (je kan dus best een diff compare doen voor te zien WAT er veranderd is aan je lijst)
Of je kijkt even in de github zelf en ziet de aanpassingstijd. Elke keer lopen turen met diff kan ook hoor, succes daarmee.

Nou, speciaal voor jou dan: https://github.com/ipvers...ry/ru/ipv4-aggregated.txt Hier nog duidelijker, in diff format https://github.com/ipvers...44463e665c28cdb0e5082a7ba

[Voor 18% gewijzigd door NimRod1337 op 03-03-2022 13:00]


  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Ik denk dat dit gewoon ip adressen zijn die tussen providers afwisselen.

Op zich kan je ook ip adress blokkeren op een hoger niveau:
Region Coverage
APNIC Asia Pacific
AFRINIC Africa
ARIN Canada, many Caribbean and North Atlantic islands, and the United States
LACNIC Latin America and the Caribbean
RIPE NCC Europe, the Middle East, and parts of Central Asia

Als je de ranges van een region blokkeerd dan blokkeer je alle landen met zekerheid , en die ranges zullen nooit cross region gaan.

Stel dat je al aziatische landen wil blokkeren zoals china,rusland,etc. dan blokker je de ranges van APNIC
Voor je firewall is dat veel zachter aangezien het heel grote subnet blokken zijn, in de plaats van tientallen subblokken.

Het zou kunnen zijn dat die subblokken af en toe veranderen (provider die failliet gaat of zijn ranges doorverkoopt aan een andere partij binnen zijn region)

https://www.apnic.net/man...es/address-status/by-rir/

[Voor 4% gewijzigd door sebastienbo op 03-03-2022 13:08]


  • htn02
  • Registratie: December 2004
  • Laatst online: 19:11
NimRod1337 schreef op donderdag 3 maart 2022 @ 12:38:
[...]

Welke functionaliteit is dat precies?

Hier staan veel country blacklists: https://github.com/ipverse/rir-ip Ik gebruik deze in iptables via ipset, update elke 4 uur met dit script: https://github.com/trick77/ipset-blacklist
de standaard functionaliteit. de landen staan er gewoon in als items die je bij source of destination adressen kan selecteren. met een knopje negate, die dus zegt, alles behalve.

eerste regel in de firewall is dus een deny rule met negate alle veilige landen.

Die lijsten worden weer bijgehouden door Palo Alto zelf, en automatisch geupdate.


  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
sebastienbo schreef op donderdag 3 maart 2022 @ 13:07:
Ik denk dat dit gewoon ip adressen zijn die tussen providers afwisselen.

Op zich kan je ook ip adress blokkeren op een hoger niveau:
Region Coverage
APNIC Asia Pacific
AFRINIC Africa
ARIN Canada, many Caribbean and North Atlantic islands, and the United States
LACNIC Latin America and the Caribbean
RIPE NCC Europe, the Middle East, and parts of Central Asia

Als je de ranges van een region blokkeerd dan blokkeer je alle landen met zekerheid , en die ranges zullen nooit cross region gaan.

Stel dat je al aziatische landen wil blokkeren zoals china,rusland,etc. dan blokker je de ranges van APNIC
Voor je firewall is dat veel zachter aangezien het heel grote subnet blokken zijn, in de plaats van tientallen subblokken.

Het zou kunnen zijn dat die subblokken af en toe veranderen (provider die failliet gaat of zijn ranges doorverkoopt aan een andere partij binnen zijn region)

https://www.apnic.net/man...es/address-status/by-rir/
Ja, dat is onze spraakverwarring. Ik vind juist hele landen blokkeren een agressieve methode. En ook niet bepaald waterdicht, als ze bv in Rusland een ip blok uit weet ik veel waarvandaan gebruiken. En ik kan het verzinnen dus het zal ook wel gebeuren. Deze blacklist die ik gebruik, loopt ook achter de feiten aan, maar gezien de updates wordt er hard aan gewerkt.

[Voor 8% gewijzigd door NimRod1337 op 03-03-2022 13:13]


  • htn02
  • Registratie: December 2004
  • Laatst online: 19:11
NimRod1337 schreef op donderdag 3 maart 2022 @ 13:11:
[...]

Ja, dat is onze spraakverwarring. Ik vind juist hele landen blokkeren een agressieve methode. En ook niet bepaald waterdicht als ze in Rusland een ip blok uit weet ik veel waarvandaan gebruiken. Deze blacklist die ik gebruik, loopt ook achter de feiten aan, maar gezien de updates wordt er hard aan gewerkt.
waterdicht is het natuurlijk niet, en je moet zeker je beveiliging daarachter niet verzwakken, maar dit scheelt je wel 90-99% van de scans en pogingen, afhankelijk van hoeveel landen je whitelist.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 17:10
htn02 schreef op donderdag 3 maart 2022 @ 13:16:
[...]

waterdicht is het natuurlijk niet, en je moet zeker je beveiliging daarachter niet verzwakken, maar dit scheelt je wel 90-99% van de scans en pogingen, afhankelijk van hoeveel landen je whitelist.
True, maar waar ik een beetje moeite mee heb ik als iedereen op elk niveau straks hele landen gaat zitten blokkeren, en ISP's dat bv. ook gaan doen, blokkeer je ook legitiem verkeer en mogelijke hulpoproepen.

Dan wordt internet gecensureerd door welk land dan ook, en blokkeren wij ook nog eens alles.

[Voor 9% gewijzigd door NimRod1337 op 03-03-2022 13:25]


  • htn02
  • Registratie: December 2004
  • Laatst online: 19:11
NimRod1337 schreef op donderdag 3 maart 2022 @ 13:19:
[...]

True, maar waar ik een beetje moeite mee heb ik als iedereen op elk niveau straks hele landen gaat zitten blokkeren, en ISP's dat bv. ook gaan doen, blokkeer je ook legitiem verkeer en mogelijke hulpoproepen.
Ik ben er ook zeker geen voorstander van dat ISP's dat gaan doen inderdaad.
Maar voor individuele bedrijven, waarom niet? het verkleint je aanvalsoppervlakte met een paar klikken.

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
NimRod1337 schreef op donderdag 3 maart 2022 @ 13:19:
[...]

True, maar waar ik een beetje moeite mee heb ik als iedereen op elk niveau straks hele landen gaat zitten blokkeren, en ISP's dat bv. ook gaan doen, blokkeer je ook legitiem verkeer en mogelijke hulpoproepen.

Dan wordt internet gecensureerd door welk land dan ook, en blokkeren wij ook nog eens alles.
Ik blokkeer enkel op basis van niet FQDN traffiek, met andere woorden alles wat geen dns naam gebruikt heeft om tot mijn server te komen (of een dns naam heeft gebruikt die mijn server niet kent)

Dat laat al het andere trafiek nog door, maar daar zet ik ook een geoip restrictie op.
Als ze buiten de benelux bezoeken dan moeten ze human verification doen.

  • bedanktjoh
  • Registratie: November 2018
  • Laatst online: 25-01 22:44
Wat voor firewall setup adviseren of gebruiken jullie? Ik heb een orbi router met zeer beperkte mogelijkheden. Sinds vorige week merken we dat onze router vaker vast loopt en sommige apparaten het niet meer goed doen. Aangezien ik nu niet in de router kan zien of er vreemd verkeer is moet ik er naar gissen.

Acties:
  • +1Henk 'm!

  • fvbommel
  • Registratie: Mei 2017
  • Laatst online: 28-01 00:22
sebastienbo schreef op donderdag 3 maart 2022 @ 13:07:
Stel dat je al aziatische landen wil blokkeren zoals china,rusland,etc. dan blokker je de ranges van APNIC
Rusland valt onder RIPE NCC, niet APNIC.

  • sebastienbo
  • Registratie: Februari 2011
  • Laatst online: 29-01 17:37
Shit ja zeg, zo raar dat een deel van Azië onder ripe valt.

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 19:01

jurroen

Security en privacy geek

Onoffon schreef op zaterdag 26 februari 2022 @ 08:09:
Je zou bijna gaan werken met een whitelist i.p.v. een blacklist voor de IP ban, 😁
Dat is exact wat ik zelf doe :+ Ik maak daarvoor gebruik van iblock (specifiek iets voor OpenBSD). Zodra iemand probeert te verbinden naar poort 22/tcp (de normale ssh poort) krijgen ze gelijk een permaban in de firewall >:)

EDIT: Ik kan trouwens pf-badhost ook aanraden als je een van de BSDs of macOS gebruikt :)

[Voor 13% gewijzigd door jurroen op 04-03-2022 12:14. Reden: Toevoeging van pf-badhost]


  • FrankHe
  • Registratie: November 2008
  • Laatst online: 10:45
Schurkenlanden in de block-list helpt hier al een hele hoop. Voor de rest van de wereld de standaard HTTP poorten 80 en 443 open naar de NAS voor allerhande zaken. Nederland zit bij mij in de allow-list voor protocollen als SSH en VPN.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee