Als ik 's morgens de logbestanden bekijk zie ik regelmatig pogingen om onze server binnen te komen, geen van alle pogingen lukt natuurlijk want de servers zijn goed beveiligd. Maar toch. Moet ik IP adressen actief blokkeren in de firewall of kan ik het zo laten staan en de algemene regels de beveiliging laten regelen?


Sep 22 07:27:46 server sshd[82288]: Failed password for root from 114.80.94.183 port 45731 ssh2
Sep 22 07:27:50 server com.apple.SecurityServer[36]: checkpw() returned -2; failed to authenticate user root (uid 0).
Sep 22 07:27:52: --- last message repeated 1 time ---
Sep 22 07:27:52 server com.apple.SecurityServer[36]: Failed to authorize right system.login.tty by client /usr/sbin/sshd for authorization created by /usr/sbin/sshd.
Sep 22 07:27:52 server sshd[82300]: Failed password for root from 114.80.94.183 port 46217 ssh2
Sep 22 07:27:54 server sshd[82312]: Invalid user oracle from 114.80.94.183
Sep 22 07:27:54 server sshd[82312]: fatal: initgroups: NOUSER: No such file or directory
Sep 22 07:27:56 server sshd[82319]: Invalid user test from 114.80.94.183
Sep 22 07:27:56 server sshd[82319]: fatal: initgroups: NOUSER: No such file or directory


Je kan dit gewoon laten staan. Zoals je zegt, ze komen er niet in. Het gaat hier om bots die wat usernamen proberen. Het is natuurlijk ondoenlijk om al die ipnrs actief te blijven blokkeren.

Een Chinees probeerde via een console (tty) met SSH in te breken.
whois 114.80.94.183

Als je alles goed beveiligd hebt, hoef je je geen zorgen te maken. Het is ondoenlijk om alle ipnrs te blocken.
Als je je logs een tijdje in de gaten houdt zie je dat het aantal pogingen in de loop der tijd alleen maar toeneemt.
Ik heb meer dan 50.000 pogingen per week! Als ik alleen in al in de log van de mailserver kijk, zie ik dat het gemiddeld minder dan twee minuten duurt voordat er een poging wordt ondernomen om mail te relayen.
Het is een kwestie van statistiek. Er zijn ongeveer 1 miljard internet gebruikers. Als internet een afspiegeling is van de samenleving heeft minimaal twee procent kwade bedoelingen. Dat zijn 20 miljoen computers. Het werkelijke aantal ligt waarschijnlijk veel hoger omdat veel computers te kwader trouw handelen zonder dat de eigenaar zich daarvan bewust is. Je kan onmogelijk alles blocken. Beveilig dus wat je kan en meer kun je niet doen.

Mail relayen is natuurlijk wat anders als iemand die je root ww probeert te hacken. Als dat de enigste is die jou probeert te hacken kun je die gewoon in je firewall blokkeren. Je kan natuurlijk ook SSH blokkeren in je firewall, maar dan kom je er natuurlijk zelf niet meer in van buiten af. Of direct heel china en nigera blokkeren, ben je daar meteen van af.  

Voor SSH zou je eventueel een geheel ander poort kunnen gebruiken dan standaard. Dat scheelt al een hele hoop verkeer. Zie ook dit met betrekking to SSH gebruik.

Er zijn overigens wel aktieve zwarte lijsten met IP nummers waarvan bekend is dat van die plek uit vaak (of altijd) hack/spam/relay pogingen gedaan worden. PeerGuardian kan met dergelijke lijsten je vuurmuur bijsturen.

Bedankt allemaal. Weer wat geleerd.