Добрый день!
Это мой первый пост тут, приветствую всех на этом форуме!

Вопрос скорее теоретический: получил выделенный IP, хочу поднять FTP сервер. Мучает информационная безопасность. В данный момент nmap говорит что все порты отфильтрованы, iptables -A FORWARD -o $LAN -m state --state RELATED,ESTABLISHED -j ACCEPT делает своё дело, но ведь есть такие вещи как DDOS атаки, и прочее. Поэтому прошу по возможности не пиная меня за наверное много раз повторявшийся тут вопрос рассказать чего потенциально бояться, и, если можно, как от этого обезопаситься. Насколько snort помогает против атак?

Заранее спасибо!

• Возможные атаки на сервер с закрытыми портами,angra, 10:01 , 06-Июл-09
  • Возможные атаки на сервер с закрытыми портами,Pry, 11:16 , 06-Июл-09
    • Возможные атаки на сервер с закрытыми портами,reader, 11:42 , 06-Июл-09
• Возможные атаки на сервер с закрытыми портами,mikra, 12:16 , 06-Июл-09
  • Возможные атаки на сервер с закрытыми портами,Pry, 16:15 , 06-Июл-09

Если у вас закрыты все порты, то какой же это сервер? А если что-то открываете, то ждите атаки именно на этот сервис, особенно если он позволяет анонимные запросы. От перебора паролей поможет fail2ban.

>Если у вас закрыты все порты, то какой же это сервер? А
>если что-то открываете, то ждите атаки именно на этот сервис, особенно
>если он позволяет анонимные запросы. От перебора паролей поможет fail2ban.

Ну сервер это для локальных машин, а если глобально мыслить то скорее роутер ;) И потом, как я понимаю закрытие всех портов не спасает от DDOS атак или SYN flood, собственно речь то об этом шла...

>>Если у вас закрыты все порты, то какой же это сервер? А
>>если что-то открываете, то ждите атаки именно на этот сервис, особенно
>>если он позволяет анонимные запросы. От перебора паролей поможет fail2ban.
>
>Ну сервер это для локальных машин, а если глобально мыслить то скорее
>роутер ;) И потом, как я понимаю закрытие всех портов не
>спасает от DDOS атак или SYN flood, собственно речь то об
>этом шла...

если все порты закрыты то вроде SYN пакеты не должны приниматься, с DDOS без помощи провайдера врятли вы сможете бороться, и то только если у него есть запас по ширине канала.
возможно вы имели ввиду DOS.

Если у вас IP динамический или статический но на него не зарегистрирован домен, то по моему атаки ограничатся сканированием нескольких портов.

если имеется ввиду атаки из локалки, то тут по моему вычисляется кто это весьма быстро.

>рассказать чего потенциально бояться, и, если можно,
>как от этого обезопаситься.

Ботнеты будут подбирать пароли к твоим открытым в инет сервисам. Так что обязательно запрет входа рутом, нестандартный юзерский логин, пароли посложнее и подлиннее... Обязательно прикрути к файрволу бан за перебор паролей. Ну и главное - открой только нужные порты и не запускай троянов на сервере :)

Спасибо, уважаемые! =)

Кстати, что вы думаете по поводу защиты путём добавления в файерволл следующих строк:

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Drop ICMP echo-request messages sent to broadcast or multicast addresses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Drop source routed packets
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Enable TCP SYN cookie protection from SYN floods
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Don't accept ICMP redirect messages
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Don't send ICMP redirect messages
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Enable source address spoofing protection
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Log packets with impossible source addresses
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

>Ботнеты будут подбирать пароли к твоим открытым в инет сервисам.

Кстати, как бы мне это дело отследить в логах? Что-то идей нету к чему привязаться...