domenica 28 marzo 2010

Bloccare l'accesso ad un server Windows ad un'intera nazione o continente

Salve Mondo...

Uno dei problemi maggiori che deve affrontare oggi un amministratore di sistema, è vedere il proprio server web o smtp attaccato costantemente, senza tregua.

Non basta tenere aggiornati i CMS, i software ed il sistema operativo; gli attacchi, su tutte le porte disponibili continueranno imperterriti, sfruttando bug vecchi e nuovi, noti e meno noti.

Basta dare un'occhiata ai log di qualsiasi server web per rendersene conto.

Ma un modo per ridurre drasticamente tali attacchi esiste, ed è veramente eccezionale. In pratica, gli attacchi provengono in genere da una o più nazioni ben definite. Sfruttando un servizio whois, basta analizzare da quali continenti provengono gli attacchi, e bloccare tutto il traffico proveniente da tali luoghi. In genere si tratta di paesi asiatici, o di paesi sud americani. Se per il proprio sito web, non ha rilevanza mantenere traffico da tali paesi, tagliargli la connessione di netto, fara' dormire notti un tantino più tranquille.

A seconda della piattaforma utilizzata, esistono diversi metodi. Elencherò per comodità dei sistemi per bloccare a livello di interfaccia di rete, tutto il traffico proveniente da una determinata nazione:

Linux: basta utilizzare le iptables. Sul web si trovano diversi script, in grado di bloccare tutto il traffico ip proveniente da determinate nazioni. Eccone alcuni:

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

http://www.howtoforge.com/blocking-ip-addresses-of-any-country-with-iptables

Questi sono solo un paio di esempi, ma in giro per il web se ne trovano tanti altri. Questi due mi sono sembrati i più significativi.

Per chi ama il sistema operativo Windows (tm) esistono degli script da far girare per IPSEC e per le security policies. Ecco un esempio testato con successo:

http://www.spambutcher.com/art1/425770/

Sfrutta il tool ipseccmd. Lo script è pure simpatico.

Ma per agevolare le cose su windows, ecco un bel programmino Windows, BeeThink IP Block, che agisce a livello NDIS (Network Driver Interface Specification) e che in un sol colpo, è configurabile per bloccare intere nazioni, scaricando semplicemente un file deny per htaccess secondo Apache. Proprio così, basta importare un semplicissimo file htaccess deny, da http://www.countryipblocks.net/ e il programma BeeThink IP Block proteggerà a livello di scheda di rete il nostro server, bloccando tutto il traffico indesiderato proveniente da determinate nazioni. Occhio che verrà bloccato proprio tutto il traffico, e non passerà un solo bit.

Il vostro server, ne sarà felice.