Ajuda na instalacao de firewall para evitar ataques

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 19:41h

Boa noite pessoal

Estou com um problema em meus servidores cloud e preciso de uma ajudinha de voces, fui indicado pela Maxihost. Eu uso meus servidores cloud para hospedar servidores de jogos (Counter Strike Global Offensive, Left 4 Dead 2 e Team Fortress 2). O problema eh que meus servidores estao sobre ataques, a intencao do individuo eh derrubar meus servidores de jogos para que esvaziem. Esses ataques que eu estou sofrendo, nao consomem banda nem processador, eu nao sei como ele consegue crashar tudo, acredito que seja algum exploit ou algo do tipo.

Eu tenho apenas o iptables instalado nos meus servidores cloud porem nao esta sendo suficiente, tentei instalar apf e csf e nao consegui. Entao gostaria de pedir a ajuda de voces na instalacao de outros programas de firewall que consigam bloquear esses exploits e outras falhas. Tambem gostaria tentar descobrir os IPs que estao mandando estes ataques para uma possivel investigacao.

Agradeco a atencao de voces.

saitam
(usa Slackware)

Enviado em 06/09/2012 - 20:04h

Bom, já que tem instalado o iptables, então crie um script em shell com as regras iptables limpando tudo e iniciando as chains INPUT, OUTPUT e FORWARD em DROP, e libere apenas a porta necessária para o funcionamento do jogo, isso já evita alguém utilizar alguma porta alta do servidor.
Também use o log do iptables em cada regra para registrar tudo...

Sobre ferramenta de monitoramento uma boa seria instalar um IDS como o Snort.

Maiores informações sobre firewall e sugestões de regras iptables, consulte:
http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 20:37h

Eu tenho algumas regras que ajudam em outros tipos de ataques. Como os servidores usam a porta 27015 para usar o rcon interface entao eu a bloqueio deixando apenas uma white list que tenha acesso para evitar os exploits da engine do jogo

iptables -A INPUT -p tcp --dport 27015 -j DROP
iptables -I INPUT -s meuip -j ACCEPT
iptables -A INPUT -p udp --destination-port 27015:27300 -m length --length 0:32 -j DROP

Tem algum tutorial para fazer o que voce sugeriu do script em shell com o esquema das chains etc? Desculpe mas eu sou muito leigo nisso. Eu apenas sei montar o cloud e rodar os jogos, infelizmente to passando por isso por criancinhas que nao tem o que fazer na internet.

saitam
(usa Slackware)

Enviado em 06/09/2012 - 20:40h

Maiores informações sobre firewall e sugestões de regras iptables, consulte:
http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 20:41h

Nossa foi mal nao tinha visto o link no seu primeiro post. Voce acha iptables suficiente ou devo instalar outro firewall? Voce conhece algo sobre ataques g3m?

saitam
(usa Slackware)

Enviado em 06/09/2012 - 20:47h

g3m é um script feito em C que faz ataque DDOS em servidores provavelmente sem proteção ou com alguma brecha de segurança, por isso é importante fazer um Hardening no servidor.

Sobre ferramenta de monitoramento uma boa seria instalar um IDS como o Snort.

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 20:58h

Certo, to lendo aqui umas informacoes na instalacao do Snort para monitoramento desses ataques.

Sobre o g3m voce sabe qual ferramenta ira bloquear ou qual regra no iptables ou outro firewall consegue dar um basta? Cara to desesperado atras de ajuda ta complicado esses ataques.

Agradeco sua ajuda!

saitam
(usa Slackware)

Enviado em 06/09/2012 - 21:09h

Leia por completo o link que passei antes, lá tem um script com algumas regras de segurança...

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 21:38h

Certo to lendo la, eh que eu perguntei sobre o g3m porque um amigo meu me disse que iptables nao segura o g3m teria que ser outro firewall. Bom quando terminar eu volto.

Abraco

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 21:54h

Saitam eu li por completo o seu tutorial naquele blog, realmente voce detalhou bem o tutorial ficou joia. Mas como voce mesmo disse la, a eficacia vai depender do profissional (no caso eu) que ira manusear o firewall. Como voce viu, eu nao sei absolutamente nada, entao mesmo eu sabendo o que cada comando faz eu nao saberei montar uma boa lista de regras. O que eu quero mesmo eh bloquear esses ataques g3m ou o que for na qual o cara consegue crashar os processos que estao rodando na minha maquina.

Eu vi que voce colocou um script no final, esse script vai bloquear esses ataques e todas as falhas na seguranca? Se sim OK vou rodar o script, soh que primeiro eu preciso saber como roda-lo rsrsrs.

Muito obrigado mesmo pela sua ajuda, to quase la ;)

saitam
(usa Slackware)

Enviado em 06/09/2012 - 22:19h

Bem deve setar permissão antes de executar o script.
#chmod +x rc.firewall.sh
#./rc.firewall.sh

se quiser que seja automático a inicialização do script no boot do sistema, então coloque em /etc/init.d/ se for Debian ou em /etc/rc.d/ se for Slackware.

Mas primeiro faz o teste normal no diretório de sua preferência, e tenta atacar...

Ah, lembrando esse script atua também como gateway da rede, ou seja, compartilha conexão na rede local, então precisa ver no seu caso para fazer as adaptações necessárias...

removido
(usa Nenhuma)

Enviado em 06/09/2012 - 23:31h

Certo, copiei o texto completo coloquei num bloco de notas salvei com o nome rc.firewall.sh e coloquei dentro da pasta /home

Quando eu fui dar o comando abaixo
root@CSGO2:/home# chmod +x rc.firewall.sh

Deu esse erro:
chmod: cannot access `rc.firewall.sh': No such file or directory
root@CSGO2:/home#

Mas o arquivo esta ai!

PS: Esse script protege contra g3m e falhas? Quais seriam as adaptacoes no gateway que eu devo fazer?