Proteggere Server

[Lixer]

Salve a tutti,
dispongo di un web server con sopra alcuni siti. Il piccolo problema riscontrato è che solo il firewall non basta per proteggerlo come si deve, pertanto chiedo a voi di aiutarmi gentilmente.

Cosa dovrei fare per proteggerlo al meglio?

Nota: il server monta freebsd 8.2 64bit

Saluti.

[DonChisciotte]

puoi spiegare meglio la problematica? riscontri problemi di qualche tipo?

ciao

[Lixer]

puoi spiegare meglio la problematica? riscontri problemi di qualche tipo?

ciao

Si. Il mio server è quasi sempre non raggiungibile.
Fortunatamente ho un pò di gente a cui sto antipatico che si diverte ad attaccare il server v.v
Bucano tutto e dossano a manetta e io non so più cosa fare. Apparte pagare qualcuno per proteggere il server o sporgere denuncia, vorrei imparare a fare qualcosina io.

Per esempio il fornitore del mio spazio web (non del server - lo conosco) ha sviluppato questa patch:

Spoiler

DeSecureMe_ is a linux secure patch for Debian/CentOS and UNIX system like FreeBsd 7.x/8.x/9.x.

Patch Features_

1)Block all interfaces exept 80-443 or any specified
2)Allow all from VPN ip
3)Create a VPN
4)Client Privilege managing fro VPN_Secure
5)Check security updates for all installed service
6)Auto detect SYN-Flood / dDos
7)Mail on Attack running
8)Ping Managing
9)SSH Access via VPN ip via certificate.Password auth disabled.
10)Webmin access via VPN enabled and included.
11)VPN Access from android/iphone
12)Multi ip support
13)Kernel updates indipendent
14)Load Balancing
15)And MORE!

Il problema è che non è ancora disponibile e se lo fosse costerebbe abbastanza. Vorrei installare protezioni del genere sul mio server.
Ho trovato varie guide in rete (FreeBSD Setting up Firewall using IPFW come questa).
Ma cerco qualcosa di più potente per le protezioni
Sapreste consigliarmi e/o aiutarmi?

Sauti e grazie ancora.

[DonChisciotte]

allora, se il problema sono gli attacchi dDoS, l'unica soluzione e' spostarti in una farm dove c'e' abbastanza banda e ci sono anche dei firewall hardware che "puliscono" il traffico.
un'iniziale protezione contro i ddos la puoi avere utilizzando CloudFlare, una soluzione di CDN distribuite: e' gratuita e oltre a fornirti un incremento prestazionale dei siti, riesce a bloccare una serie di attacchi dDoS.
contro lo sfruttamento di exploit, devi configurare bene tutti i servizi che hai, aggiornare costantemente i siti che pubblici evitando magari piattaforme poco utilizzate o "famose" per l'esser poco sicure.
per quanto riguarda quella patch che hai postato, potresti postare il link (o mandarmelo in PM se preferisci)?

ciao

[EvolutionCrazy]

Il piccolo problema riscontrato è che solo il firewall non basta per proteggerlo come si deve, pertanto chiedo a voi di aiutarmi gentilmente.

quindi vorresti mettere 2 firewall? o 3?

Scherzi a parte il firewall non basta avviarlo... devi scriverti le regole :/

PF presumo abbia moduli per fare full packet inspection anche alla ricerca di stringhe... come fai a dire che non basta? Oo

[DonChisciotte]

PF presumo abbia moduli per fare full packet inspection anche alla ricerca di stringhe... come fai a dire che non basta? Oo

probabilmente non e' sufficiente perche' la macchina subisce attacchi dDoS e se il problema e' la banda non c'e' PF che tenga..

[EvolutionCrazy]

sì, contro i ddos c'è poco da fare... ma il "bucano tutto" mi suonava strano

Dov'è ora questo server come ISP? l'ISP non ti dice nulla?

[Lixer]

sì, contro i ddos c'è poco da fare... ma il "bucano tutto" mi suonava strano

Dov'è ora questo server come ISP? l'ISP non ti dice nulla?

Scusa, cosa sarebbe l'ISP?

Comunque il link della patch è desecureme(dot)com. (non è stata ancora rilasciata, è in fase di test. infatti il creatore invita a "bucargli" il sito e se ci riesci ti da una ricompensa in soldi x'D - comunque di sicuro sarà a pagamento e costerà abbastanza)

Saluti.

[DonChisciotte]

Scusa, cosa sarebbe l'ISP?

ISP = Internet Service Provider

Comunque il link della patch è desecureme(dot)com. (non è stata ancora rilasciata, è in fase di test. infatti il creatore invita a "bucargli" il sito e se ci riesci ti da una ricompensa in soldi x'D - comunque di sicuro sarà a pagamento e costerà abbastanza)

Saluti.

ok, grazie del link

ciao

[Alex]

a me quella patch sembrano 4 regole di iptables e basta ... poi mi si deve spiegare che vuol dire load balancing quando si ha un server singolo ...

[Lixer]

a me quella patch sembrano 4 regole di iptables e basta ... poi mi si deve spiegare che vuol dire load balancing quando si ha un server singolo ...

Quello è riferito a quando si possiedono più servers.

Comunque una volta trovato uno script sh che blocca un ip dopo tot connessioni come faccio a mantenerlo attivo anche dopo aver chiuso il client ssh?

Grazie.
Saluti.

[DonChisciotte]

Comunque una volta trovato uno script sh che blocca un ip dopo tot connessioni come faccio a mantenerlo attivo anche dopo aver chiuso il client ssh?

man screen.. in ogni caso, per gli accessi ssh puoi provare ad usare fail2ban, che e' un demone, quindi resta in ascolto e non devi preoccuparti di detachare la finestra prima di uscire da ssh.

scusami se azzardo un'opinione: puo' darsi che ci sia un po' di superficialita' nelle configurazioni, che, probabilmente, necessitano di un po' di hardening... purtroppo la sicurezza e' un eterno divenire, non si finisce mai e non e' che si lanciano due script e si fa tutto... in ogni caso puoi vedere quanto sei vulnerabile con tool come ossec e magari capisci dove puoi mettere mano e dove no...

ciao

[Lixer]

Ty. Grazie