URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 369
[ Назад ]

Исходное сообщение
"Как избежать инфо интервенций?"
Отправлено Плутон , 16-Дек-02 08:37

Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4 дня нами было принято несколько сотен Мвт. У нас стоит линукс, закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем, что делать - платить, включать, ...
С уважением, Леонид

Содержание

RE: Как избежать инфо интервенций?,Andrey Lutsenko, 08:40 , 16-Дек-02
- RE: Как избежать инфо интервенций?,Плутон, 14:35 , 16-Дек-02
RE: Как избежать инфо интервенций?,trin, 15:06 , 16-Дек-02
- RE: Как избежать инфо интервенций?,Alex, 11:57 , 25-Дек-02
  - RE: Как избежать инфо интервенций?,Angel Keeper, 12:24 , 28-Янв-03
    - RE: Как избежать инфо интервенций?,Boytronic, 14:18 , 28-Янв-03
      - RE: Как избежать инфо интервенций?,Angel Keeper, 14:56 , 28-Янв-03

Сообщения в этом обсуждении

"RE: Как избежать инфо интервенций?"
Отправлено Andrey Lutsenko , 16-Дек-02 08:40

>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>что делать - платить, включать, ...
>С уважением, Леонид
Кто-то вашу прокси попользовал и накачал себе гигов?

"RE: Как избежать инфо интервенций?"
Отправлено Плутон , 16-Дек-02 14:35

>>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>>что делать - платить, включать, ...
>>С уважением, Леонид
>
>Кто-то вашу прокси попользовал и накачал себе гигов?
Что сделать? что закрыть?

"RE: Как избежать инфо интервенций?"
Отправлено trin , 16-Дек-02 15:06

>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>что делать - платить, включать, ...
>С уважением, Леонид

Проверить свой файрволл снаружи каким-либо (а лучше, несколькими) сканером безопасности и уязвимостей, (для Виндов, например, ShadowSecurityScanner, XSpider, Retina) - посмотреть, что будет выдано. Произвесть аудит правил файрволла на предмет корректности, посмотреть tcpdump и netwatch траффик некоторое время. Проверить свой web и http-proxy - нет ли возможности подключиться к проксе извне.
Для файрволла на Линукс (iptables) можно запретить в input/output вообще все - будет черная дыра, исключительно гоняющая чужой трафик (forward). А сервисы увести с fw на машинку в dmz (с нераеальными ip)и прокинуть на нее нужный трафик DNAT-ом.

"RE: Как избежать инфо интервенций?"
Отправлено Alex , 25-Дек-02 11:57

>>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>>что делать - платить, включать, ...
>>С уважением, Леонид
Привет.
Если у тебя стоит Squid (а это наверно именно так), то поствь в настройках Squid'a прием запросов только с определенных IP или сети.
С уважением, Александр.

"RE: Как избежать инфо интервенций?"
Отправлено Angel Keeper , 28-Янв-03 12:24

Добрый день.
Очень похожая ситуация у меня. Раньше фирма использовала 2 гига траффика в месяц. Начались превышения в связи с большим количеством информации, которая требовалась для работы. Стали брать 4 гига... сегодня мне говорят, что у нас превышения траффика на 500 буказоидов. Каким образом? Сейчас жду распечатку от прова, дабы прояснить куда могло улететь такое количество Гиговат.
P.S. До моего появления в этой организации у них были проблемы с открытым релеем и всеми сопутствующими "сюрпризами". Есть подозрение, что нас по прежнему сканят на открытые порты, хотя всё уже давно прикрыто. Отсюда вопрос, которые здесь уже отчасти поднимался - как закрыться от сканов? Ведь от того, что мой шлюз отлупил сканера - пакет через шлюз прова всё равно прошёл...
wbr, Angel Keeper. http://www.triza.ru

"RE: Как избежать инфо интервенций?"
Отправлено Boytronic , 28-Янв-03 14:18

Доброго времени суток.
Один из вариантов борьбы со сканом:
закрываем машинку на прием из вне чегобыто ни было...
получаем черную дыру которую перестают сканить практически сразу как она становиться этой чрной дырой. Во всяком случае мне такой метод очень сильно помог.. все сканы прекратились...
Пускаем из вне только пакеты со статусом "--state ESTABLISHED,RELATED"...

второй шаг ставим portsentry большинство сканов уйдут в бан...
сканить черную дыру надоест достаточно быстро...
должно спасти.... меня во всяком случае это спасло...

"RE: Как избежать инфо интервенций?"
Отправлено Angel Keeper , 28-Янв-03 14:56

Доброго времени суток.
Спасибо за совет. В принципе не понятно на что я расчитывал задавая вопрос. :) Просто думал малоли чего-то не предусмотрел.
Спасибо, так и сделаю. Надеюсь мне это тоже поможет.
wbr, Angel Keeper. http://www.triza.ru