Opublikowano:

zabezpieczanie sshd

Od wczoraj ktoś bombarduje mój 22-port brute forcem, kiedy zablokuje ip przez iptables problem mija na kilka godzin po czym atak jest wznawiany z innego ip. Potrzebuję więc jakiegoś inteligentnego daemona który wykrywałby 2-3 nieudane logowania na ssh po czym banował ip na kilkanaście minut – lub jakiegoś zabezpieczenia w tym stylu. Co możecie poradzić? Czytaj dalej...

Opublikowano:

ochrona przed atakami spoof

Witam, Ulepszyliśmy zabezpieczenia przeciwko atakom na naszą sieć, zwłaszcza przeciwko atakom spoof za pomocą naszych IP ale wykonywanych z internetu. Od teraz ten typ ataku jest zablokowany. Rozwiązuje to problem anti-hack około 300 klientów z piątku. Wszystkie te serwery działają już prawidłowo. Przepraszamy za problem. Pozdrawiam Octave Więcej informacji: http://prace.ovh.pl/?do=details&id=13137 —————————————————————– Klient IT (haker) zamówił 15 serwerów. Niektóre z nich używał do wykonywania ataków i skanów. Klika razy jego serwery zostały umieszczone w trybie rescue, w celu ochrony sieci. Do tej pory nic się nie działo. Jeden z serwerów 94.23.4.70 został wykorzystywany do ataków. Uruchomiliśmy zabezpieczenia, aby zablokować atak. Nadal nic się nie działo. Zabezpieczenia działały prawidłowo. Hakerzy wykorzystali więc atak spoof z Internetu ale z IP Ovh. Był to sposób na obejście zabezpieczeń i automatycznych limitów przepustowości. Uruchamiając spoof w sposób masowy, hakerzy wykonali atak przez sieć Ovh do IP 94.23.4.70:80. Atak 500Mbps został wykonany w piątek 25 około 20:00. Ovh analizuje ruch wewnętrzny w sieci, rozpoznaje atak i blokuje ataki. Rozpoznaliśmy, że około 300 serwerów w Ovh wykonało atak na 94.23.4.70. Zostały one uruchomione w trybie rescue. W nocy przywróciliśmy serwer do normalnego trybu (był to fałszywy alarm). Aby uniknąć tego typu błędów, uruchomiliśmy dodatkowe zabezpieczenia dla ruchu wchodzącego do naszej sieci z internetu. Nie można już wysyłać nam pakietów z IP źródłowych, które są w Ovh. Jest to zablokowane. Problem jest więc rozwiązany. Przepraszamy za zaistn Czytaj dalej...

Opublikowano:

Prace na VSS

http://prace.ovh.pl/?do=details&id=12426 Dla serwerowni RBX 2 zdecydowaliśmy uruchomić sieć, która ma być w 100% dostępna. Do tego celu zostanie wykorzystany switch Cisco 6509 w konfiguracji VSS. Chodzi o system dwóch routerów, które będą pracować jak jeden. Z dwoma serwerami wszystko będzie zdublowane i będziemy mieli 100% dostępności. Napotkaliśmy kilka poważnych problemów z VSS, które spowodowały przerwę w działaniu usług, a zatem nie dotrzymaliśmy warunków umowy. Podstawową przyczyną problemu są chroniczne problemy z BGP. Podczas modyfikacji tabel, CPU jest obciążane w 100%, nic strasznego. Ale na koniec roku 2009 uruchomiliśmy silne zabezpieczenia wewnętrznej sieci, które pozwalają nam wyizolować nam każdy serwer z osobna. Realizujemy to z użyciem vlan prywatny i poprzez proxy arp. Standardowe rozwiązanie. Odpowiada router, zamiast innych serwerów, router zapewnia poprawność routingu nawet wewnątrz tego samego vlan. Router też odpowiada na wszystkie zapytania arp i te procesy potrzebują dużo CPU. Zwykle działa to poprawnie. Ale wystarczy, że tabele są przeliczane i BGP zabiera 100% CPU, co zaburza procesy MAC. Konsekwencją jest brak MAC i przerwa w działaniu usług 1, 3, 8 minut… Problem z BGP będzie rozwiązany z użyciem specjalnych routerów, które będą realizować tylko to. Wciąż jednak pozostaje problem z MAC. Zdecydowaliśmy zatem zrezygnować z aktualnego rozwiązania i wrócić do sprawdzonej metody: pojedynczy router. Mamy aktualnie około 30 pojedynczych routerów i nie sprawiają one żadnych problemów. Tylko routery podwójne sprawiają problemy. Od minionego tygodnia wykonywaliśmy modyfikacje VSS, aby przejść na nową konfigurację mono. Wykonamy to w czterech etapach: – wszystkie łącza DC podłączone do drugiego routera z Czytaj dalej...

Opublikowano:

Posiadanie zabezpieczenia kredytów powinno być standardem

– Kiedy mówi się o kryzysie podkreśla się, że nie jest łatwo, bo spada liczba zamówień. Jednak dużo większy problem jest wtedy, kiedy otrzymamy zamówienie i je zrealizujemy, ale nie otrzymamy zapłaty. Dobrze jest wiedzieć wiele o swoich kontrahentach: czy nie wstydzą się swojej działalności, czy prowadzą działalność adekwatną do tego jakie złożyli u nas zamówienie, bo często klienci składają zamówienia większe niż wartość ich rocznego obrotu – mówi Piotr Soroczyński, główny ekonomista KUKE. Czytaj dalej...

Opublikowano:

Feedback: skanowanie i ataki

Witam, W tym tygodniu wprowadziliśmy system zabezpieczeń dla naszej sieci dla ICMP (przeciw smurf) oraz TCP/SYN (przeciw synflood). Rezultat jest zadawalający: obserwujemy wyraźny spadek ataków i skanów (- 90%). Zabezpieczenia są aktywne dla wszystkich naszych klientów: dla platformy serwerów wirtualnych, dedykowanych i maszyn kolokowanych. (TCP i ICMP) Planujemy wprowadzenie zabezpieczeń dla UDP, nie możemy automatycznie aktywować takiej usługi dla wszystkich klientów (wszystko zależy od sposobu wykorzystywania serwera). Zabezpieczenia są różnorodne w zależności od tego, czy korzystacie z serwera gry, serwera DNS, VPN, serwera asterisk. Wprowadzimy różne typy zabezpieczeń w zależności od zastosowania serwera. Najprawdopodobniej taka usługa będzie płatna, np. 1 euro/miesiąc/IP. Czekamy na Wasz feedback. pozdrawiam, Octave Czytaj dalej...