Prohibición temporal de IPs para el acceso a determinados puertos

Uno de los loggings de mi server mostró que había un bash de acceso no autorizado en un daemon que escuchaba en un puerto no estándar. Eso me llevó a preguntarme con qué frecuencia la gente ejecuta escáneres de puertos para search vulnerabilidades. ¿Existe un progtwig que pueda ejecutar como un honeypot para prohibir automáticamente IPs que escaneen ciertos puertos?

Podrías escribir algo para que fail2ban analizara las reglas de iptables y los ips de prohibición que golpearan puertos particulares.

Heh … proxenetismo OSSEC una vez más, pero echa un vistazo. Puede ejecutar scripts automáticamente (y actualizar los sets de reglas de firewall en Linux / BSD casi fuera de la caja) cuando se registran patrones de syslog específicos: http://ossec.net

Usted debe esperar que una máquina en el Internet para ser explorada básicamente continuamente.

La prohibición automática de IPs que analizan ciertos puertos no es lo que es un honeypot.

Los atacantes tienen acceso a múltiples networkinges. No puedes bloquearlos. Puede frustrar un explorador de puertos, pero si el objective es frustrar a las personas que exploran su networking y no agregan security, su mejor solución es un honeypot.

Pero usted no sabe cuál es y dudo realmente que usted desea fijar uno para arriba. Su pregunta indica que debe estudiar algunos aspectos básicos de security y networkinges. La creación de honeypots es un path hacia una mejor comprensión de la security de la información.

Para get ayuda real para problemas de sistemas, o realmente cualquier problema técnico en cualquier campo, debe describir la situación y dónde desea terminar. Diseñar una solución cuando se sabe poco sobre lo que está sucediendo y pedir ayuda para la implementación con pequeños detalles es un signo seguro de un proyecto que terminará en un fracaso.

No sé qué sistema operativo se está ejecutando, pero ciertos firewalls tienen la capacidad de crear reglas que le permiten prohibir automáticamente a un usuario si golpea un determinado puerto dentro de una cierta cantidad de segundos.

La otra opción es ejecutar un script de algún tipo que lea el file de logging, y cuando vea los bashs en los puertos en cuestión que automáticamente agrega una nueva input al firewall para mantenerlos fuera.

La exploración de puertos es sólo un hecho de la vida, si este service se supone que está disponible para sólo ciertas personas, a continuación, ajustar el firewall para que todo, pero que se permite acceder a ella está bloqueado, básicamente creando una list blanca en lugar de list negra. Whitelisting es más eficaz, pero al mismo time más de un dolor para mantener.