Eu tenho um firewall ufw com as seguintes regras:
Status: ativo Registro em log: ativado (baixo) Padrão: negar (entrada), permitir (saída), negar (roteado) Novos perfis: pular
Para a ação de
LIMITE 22/tcp EM Qualquer lugar
80 LIMITE EM Qualquer lugar
443 LIMITE EM Qualquer lugar
22/tcp (v6) LIMITE EM Qualquer lugar (v6)
80 (v6) LIMITE EM Qualquer lugar (v6)
443 (v6) LIMITE EM Qualquer lugar (v6)
Essas regras estabelecem um limite para o número de solicitações nas portas 22, 80 e 443. As regras são obedecidas exceto quando utilizo uma VPN como ExpressVPN. A porta 22 ainda tem um limite, mas as portas 80 e 443 não estão mais limitadas por uma VPN.
Como posso definir um limite para o número de solicitações para bloquear um hacker que se esconde atrás de uma VPN?
Infelizmente, limitar o tráfego apenas por porta pode não ser a maneira mais eficaz de bloquear hackers, especialmente aqueles que usam VPNs. Veja por que os limites do ufw não estão funcionando para você com a VPN e algumas abordagens alternativas:
Por que os limites do ufw não funcionam com VPN:
Túnel VPN: Quando você se conecta a uma VPN, seu tráfego é encapsulado dentro do túnel VPN. O ufw opera antes do túnel VPN, portanto, vê o IP de origem como o servidor VPN, e não o IP original do invasor. A limitação por porta não afetará o invasor se ele estiver usando as mesmas portas (80, 443) no túnel VPN. Abordagens Alternativas:
Fail2ban: Esta é uma ferramenta de segurança popular que monitora logs e pode banir automaticamente IPs que mostram atividades suspeitas, como repetidas tentativas de login malsucedidas. Isso pode ajudar a impedir ataques de força bruta em portas como SSH (22).
Senhas fortes e autenticação de dois fatores: Garanta senhas fortes e exclusivas para todos os serviços e habilite a autenticação de dois fatores sempre que possível. Isso adiciona uma camada extra de segurança além das limitações de porta.
Regras baseadas em IP (abordagem cuidadosa): embora os limites de ufw por porta não funcionem com a VPN, você pode considerar adicionar regras de bloqueio temporárias baseadas em IP para atividades suspeitas se puder identificar o IP específico do servidor VPN. Esta abordagem requer cautela, pois pode bloquear usuários legítimos se o IP do servidor VPN mudar.
Monitore registros: revise regularmente os registros do firewall em busca de atividades suspeitas. Procure repetidas tentativas de login malsucedidas ou padrões de tráfego incomuns. Ferramentas como o Fail2ban podem ajudar a automatizar esse processo.
Aqui estão alguns pontos adicionais a serem considerados:
Limitar escopo: restrinja os limites do ufw a portas essenciais como SSH (22). Limitar portas comuns como 80 (http) e 443 (https) pode interromper o tráfego legítimo. Concentre-se na higiene da segurança: limitar as portas é apenas um aspecto da segurança. Senhas fortes, autenticação de dois fatores e manutenção do software atualizado são cruciais para a proteção geral. Ao implementar essas estratégias, você pode fortalecer sua postura de segurança e dificultar a exploração de vulnerabilidades pelos invasores, mesmo que usem uma VPN. Lembre-se de que a segurança é um processo contínuo, portanto, mantenha-se atualizado sobre as práticas recomendadas de segurança.