Site scan kiküszöbölése

Hálózatok általános

Sziasztok!

Szeretnék védekezni az általános site scan támadásokkal szemben, ehhez keresek ötleteket, programokat, alkalmazásokat.

Azt kellene elérni, hogy ha egy címről sok 404-et eredményező kérés érkezik, akkor azt egy időre letiltsam még az alkalmazásszerver előtt. Tehát ha valaki ilyenekkel próbálkozik, hogy
/user/login?ref=file:///etc/passwd
/files?file=/etc/passwd
amik egy portálon érvénytelen url-ek, akkor az első 20-30 ilyen után egy napig automatikusan tiltólistára kerüljön.

Kollégák Barracuda WAF-t használnak frontend tűzfalnak, de annak nincs ilyen beállítása (vagy eddig én nem találtam meg). Az alkalmazás SuSE Enterprise Linuxon fut.

Köszi!
pentike

  • 1677 megtekintés

( gemnon v | 2016. 03. 09., sze – 14:10 )

Snort/Suricata vagy bármilyen más IDS/IPS?

( Cajga | 2016. 03. 09., sze – 14:13 )

Nem eppen az, amit kertel de az is lehet, hogy jobb megoldas: mod_security

( dotnetlinux | 2016. 03. 09., sze – 14:39 )

"amik egy portálon érvénytelen url-ek, akkor az első 20-30 ilyen után egy napig automatikusan tiltólistára kerüljön." néha nem érik el a 20-30-at, csak _napi_ 5-öt, de akkor is kellene egy ban. A saját irodai fix IP-det tedd allow-ra, mert hamar kizárod maga egy rossz URL routing-gal. Pláne ha fail2ban megy, ami a tűzfalba ír, még a 22-es port sem fog menni :)

( csardij v | 2016. 03. 09., sze – 21:01 )

mod_security + csf/lfd ? bár utóbbi centosos cucc.