Como bloquear os serviços para ips internacionais ( segurança )

[MyWay Hosting]

Olá

 

estou deixando uma contribuição para que você possa aumentar a segurança em seu servidor.

 

Como bloquear os serviços para ips internacionais ( segurança )

 

Esse tutorial ensina a você bloquear o acesso a serviços que são acessíveis com user e senha ( email, pop, smp, webmail, cpanel, whm e etc ) para ips internacionais.

 

 

A primeira coisa a fazer é ativar o hulk e colocar seu IP na whitelist afim de poder trabalhar e não ficar sem acesso.

 

Na blacklist você deve colocar

 

1.0.0.0/8

2.0.0.0/8

3.0.0.0/8

 

até 256.0.0.0/8

 

O HULK não aceita algo como 0.0.0.0/0 por exemplo ( não aceitava até alguns dias ok ? )

 

Então você precisa bloquear tudo de 1 a 256 ( 256 linhas ) com um /8

 

Após isso você precisa liberar o Brasil

 

Para conseguir a lista atualizada somente do Brasil rode o seguinte no ssh

 

 

wget ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest  -O IpsBrasil.txt

 

cat IpsBrasil.txt | /bin/grep ipv4 | /bin/grep BR | /usr/bin/awk -F '|' {'print $4 "/" 32-(log($5)/log(2))'} > IpsBrasilFinal.txt

 

 

Segue a lista atualizada ( caso você não tenha acesso ssh e deseje montar um .htaccess para bloquear pastas ) com a data de hoje dos ips brasileiros. Não há novas liberações de IPV4 portanto essa lista não deve atualizar com muita frequencia.

 

http://myway.com.br/security/IpsBrasilFinal.txt

 

Então você pega o resultado de IpsBrasilFinal.txt e coloca dentro da whitelist

 

 

IMPORTANTE

 

1) Isso irá bloquear qualquer porta que precisa de user e senha

2) Se você usa o WHMCS então coloque na whitelist o IP do seu servidor

3) Coloque o ip 127.0.0.1 na whitelist afim do webmail funcionar

 

Atenção:

 

Ips do google apps e outlook 365 não conseguirão logar na pop ( para clientes que usam emails não com o MX alterados mas sim para clientes que usam as plataformas do google e hotmail para logar no seu servidor e baixar emails )

 

Neste caso você precisa colocar os ips deles na whitelist. 

 

Na internet é possível conseguir essa lista. Eu tenho uma coleção por aqui. Se precisar só pedir aqui no tópico

 

Outra coisa, se você usa o TRENDYTOOLS ( Construtor de sites ) saiba que ele roda nos servidores do fabricante  e manda publicar no seu servidor. Então tem que colocar o ip dele também na whitelist. No site da TrendyTools tem o ip no help. É apenas 1

 

 

Agora:

 

Para saber paises vizinhos como Paraguai, Uruguai, Argentina ou outro que deseja liberar

 

Rode novamente isso ( abaixo ) mas troque a TLD de BR ara a TLD do pais que vai liberar. Por exemplo, se for liberar Paraguai, segue abaixo

 

BRASIL

----------

wget ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest  -O IpsBrasil.txt

 

cat IpsBrasil.txt | /bin/grep ipv4 | /bin/grep BR | /usr/bin/awk -F '|' {'print $4 "/" 32-(log($5)/log(2))'} > IpsBrasilFinal.txt

 

 

PARAGUAI ( observe a segunda linha em grep PY )

--------------

 

wget ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest  -O IpsBrasil.txt

 

cat IpsBrasil.txt | /bin/grep ipv4 | /bin/grep PY | /usr/bin/awk -F '|' {'print $4 "/" 32-(log($5)/log(2))'} > IpsBrasilFinal.txt

 

 

O resultado final será colocado em IpsBrasilFinal.txt mas isso é indiferente visto que sua intenção é pegar a lista dos ips daquele lugar.

 

 

 

Você também pode usar o resultado para criar um .htaccess afim de bloquear uma determinada pasta apenas para o Brasil ou colocar um site sob firewall.

 

Espero ter ajudado. Dúvidas? me pergunte.

 

 

Abraços

 

[tekobr]

Olá, ótimo tutorial, parabéns. Gostaria de tirar uma dúvida: caso algum IP que esteja na whitelist faça alguma "bobagem" ele será bloqueado pelo cphulk?

[MyWay Hosting]

Olá Tekobr

 

acredito que vc esteja falando, se algum usuário de ip brasileiro venha desejar fazer um brutal force para acessar o ftp de alguma conta, seria essa a bobagem ou algo parecido envolvido com uma tentativa de hack ? Se for isso, tuna o firewall para que o ip seja jogado no blacklist do firewall. Então vc usa o firewall para bloquear tentativas de hack via brutal force mas não o hulk neste caso. Caso o user erre muitas vezes a senha ficará a cargo do firewall negar várias tentativas. Se não ficou claro ou se eu não entendi a sua pergunta, reforce a mesma para que eu possa compreender melhor. Abraços.

[tekobr]

MyWay, é essa situação mesmo que estou falando. Se alguém do BR tentar acessar o cPanel de algum cliente e errar a senha várias vezes ele não será bloqueado pelo CpHulk. Não sei se o CSF bloqueia isso pois aqui o CpHulk bloqueia antes.

[MyWay Hosting]

Sim, o FIREWALL irá bloquear o IP. Neste caso o CPHULK irá funcionar para autorizar ou não o acesso e o FIREWALL irá servir para bloquear em caso de muitos erros.

 

Você não irá usar o CP HULK como um firewall propriamente dito e sim para autorizar ou não. Quem irá bloquear por errar muitas vezes a senha será o FIREWALL. Inclusive isso é o certo. 

 

O HULK libera ou não acesso para ip nacional.

 

O FIREWALL é o guardião que irá banir um ip se errar a senha muitas vezes. seja por estar usando a senha errada ou seja com segundas intenções com finalidade para hacks.

 

Essa é a lógica e ordem de funcionamento.

 

Em caso de dúvidas, me questione.

[MyWay Hosting]

Inclusive Teko, se vc desativar o firewall ( digamos ) e deixar apenas o hulk bloqueando, você verá o hulk tomando muita cpu. Pq no máximo ele fará a verificação se está na blacklist e deixar ou não entrar. Neste caso um ataque de brutal force não terá fim e isso tomará muita CPU. Então o certo é tunar o firewall para que o ip seja bloqueado depois de muitos erros. O HULK não pode ficar segurando a bronca sozinho. Vc precisa fazer os 2 trabalhar em modo cooperativo. 

[Jaime Silva]

Bela dica.

Vou usar com meu sistema de monitoramente e notificação de login: assim em caso de falha em um (exemplo: queda do MySQL vai fazer o cPHulk parar) o outro vai fazer o serviço.

[Marco Antonio]

Otima dica, parabens., aquela lista de IPs, podes compartilhar?

[LucasG]

Obrigado , acho que vou utilizar !

Enviado do meu iPhone usando Tapatalk

[Thiago Sabaia]

Eu utilizo esse tutorial para bloquear acesso gringo a certas portas 

Funciona muito bem.