La registrazione è aperta alla scelta e spiegherò perché. È più facile bloccare TUTTO (eliminare, non rifiutare) e consentire solo indirizzi attendibili. Ciò ti consente di creare una regola contro N quantità di regole che genereresti dalla lista nera. Dai un'occhiata alla lista nera media e troverai che ci può essere ben oltre il segno di 1k in un dato giorno. Ciò che accade è il seguente:
Firewall (essere se IPFW, IPTables, checkpoint FW, SSG, ecc.):
Connection is coming in --> Check against the first rule
Connection is coming in --> Check against the second rule
Connection is coming in --> Check against the ... rule
La tua macchina dovrà elaborare N quantità di regole - dove N è la quantità di indirizzi IP nella tua lista nera. Per non parlare, so di bot basati su ssh che falsificano gli indirizzi, quindi c'è anche la possibilità di spoofing: la macchina stessa, la route predefinita ... 0.0.0.0/0 (tutti). Pensaci per un momento. Se ho fatto quanto segue:
nmap -sS YOUR.IP.ADDRESS -p 80 -D 0.0.0.0,YOURGATEWAYIP,YOURUPSTREAMGWIP
I registri mostreranno le voci da 0.0.0.0, l'IP del gateway, l'IP GW Upstream, creando a sua volta una regola FW per bloccare le connessioni. Per evitare ciò, devi inserire l'indirizzo IP WHITELIST, creando ancora più regole:
Connection is coming in --> Check against the first rule --> WHITELISTED
Questo pacchetto verrà inviato immediatamente in base al posizionamento della regola (dovrebbe essere una delle prime. Altrimenti:
Connection is coming in --> Check against the first rule
Connection is coming in --> Check against the second rule
Connection is coming in --> Check against the ... rule
Connection is coming in --> Check against the first rule --> WHITELISTED
Più grandi diventano le tue regole, più difficile sarà mantenere. Se possibile, è meglio fare quanto segue:
firewall --> this Whitelisted address is allowed all others blocked
Una regola da elaborare rispetto a regole ingombranti. Ora, torniamo al logging; quale sarebbe l'obiettivo del logging. Arrivano gli attacchi, gli attacchi vanno. Internet è come outerspace pieno di spazzatura. Molti degli attacchi ssh provengono da host compromessi, non dal vero aggressore. Molte sono parti di botnet, alcune delle quali sono centinaia di migliaia di persone. Non solo stai sprecando potenza di elaborazione, alla fine, stai anche sprecando spazio sulle unità da quando i registri possono crescere.