Názory k článku Nasaďte dynamický firewall používající data z projektu Turris

Super směr. Osobně bych uvítal, kdyby byl samotný blacklist někde standardně ke stažení. Zajímavé by také mohlo být ho vystavit ve formě DNSBL.

Ten seznam samozřejmě ke stažení je – na webu projektu Turris.

Díky moc :-) Nevěděl jsem, že tenhle web ještě reálně žije (viz poslední aktualita prakticky ze začátku 2017)

Vetsina "marketingovych" aktivit (jako novinky a podobne) se presunula na jine weby a projektovy web slouzi dnes jen pro stary system a z neho padajici greylist (tam se da zjistit kdy byl vygenerovany naposled).

Platnost vyprší s vydáním dalšího greylistu, tedy za týden. Na druhý dotaz nedokážu odpovědět.

Aktualne ve starem systemu pouzivame dva tydny bez prohresku :-) Aktualne na routerech je utok na IPv6 spise vzacnosti, precijen ten rozsah je docela velky a rozsireni IPv6 male. Do budoucna uvidime...

pri realnom pocte hrozieb je list celkom malicky. otazka je, ci turris zvladne aj vacsi

Smysl prepisu je prave abysme zvladali vetsi data. Jak je v clanku uvedeno, zatim data do noveho systemu sbira jen par routeru a vetsina routeru stare posila data do stareho systemu. Jak budeme postupne preklapet routery do noveho systemu a budeme ziskavat vice dat, seznam se bude rozsirovat a budeme ladit i ruzne vahy a parametry celeho systemu.

Ono také mnohé hrozby je obtížné odhalovat, protože útoky přicházejí z rozsáhlých botnetů a tedy počet pokusů z jednotlivých strojů bývá nízký. Zároveň je potřeba si dávat pozor na "plané poplachy". Výkonově to problém není, dynamický firewall využívá ipset, který má prakticky konstantní operační složitost, takže délce seznamu skoro nezáleží (když pomineme paměťovou náročnost, která by se ale projevila až u opravdu dlouhých seznamů).

4. 12. 2019, 10:28 editováno autorem komentáře

A co false positivě detekce? Stává se někdy?

Jinak projektu tleskám!

Nedalo by se to nejak pouzit v Mikrotiku? Nebo idealne nechysta nekdo nejaky navod? Pry se da neco podobneho realizovat (lisi se zdroj zavadnych domen), akorat me se nikdy nic krome automaticke aktualizace nepovedlo na Mikrotiku rozchodit a nemam se koho zeptat.

Zrovna přesně o tomhle jsem včera uvažoval. Na svém Mirkotiku mám skript stahující si seznam "závadných IP" ze sbl.blocklist.de , a tento z Turrise by mohl být dobrým doplněním. I když nevím, jak se malý Mikrotik popere s 2x 30 tisíci IP.

Okolo Mikrotiku je velká komunita, návodů je spousta, jen v tomto případě seznam IP bude muset být někde trochu "předžvýkán".

Nepsal jste neco podobne do diskuze k recenzi Zyxell firewallu?
Navody jsem si kdysi hledal, ale temer nic mi nefungovalo, asi delam nejakou trivialni chybu, neb jsem samouk nepracujici a nepohybujici se v IT. Byl byste ochoten se o ten script podelit nebo me alespon nasmerovat na nejaky fungujici navod?

skript pro MikroTik:
Dynamic blacklist ze serveru www.squidblacklist.org

https://www.marthur.com/networking/mikrotik-setup-squidblacklist-firewall/388/

pouzivam a funguje mi uz pres rok

Diky, zkusim to nejak dat dokupy a uvidim.

Aktualne se v nejakem "vyssim IT" teprv rozkoukavam, tak se mozna zeptam blbe, ale doma mam na serveru v kontejneru pro routovani a filtraci provozu WRT a premyslel jsem ho nahradit pfsense. Byla by mozna nejaka integrace tam? (oba projekty by z toho mohli tezit a maji svou zakladnu uzivatelu)

6. 12. 2019, 19:03 editováno autorem komentáře

Taky bych se primluvil do budoucna k rozsireni i na pfSense :)

Dobry den,

jak jsem psal v clanku, API je k dispozici a nekolikaradkovy snippet ktery ho pouziva k udrzovani lokalni kopie seznamu taktez. My na routerech pouzivame iptables a implementace pres ipset je velmi primocara, ale kdokoliv muze pouzit nas kod k vytvoreni pfsense nebo libovolne jine integrace.