thuispagina prikboard Tor Web Proxy Cyberaanvallen

Taal kiezen:

IP-Beveiliging

Wij zetten ons in om de integriteit van ons netwerk te handhaven door alle cyberaanvallen te rapporteren die op onze servers gericht zijn. Wij geloven sterk in het belang van het monitoren en rapporteren van IP-aanvallen. Daarom hebben wij een reeks maatregelen geïmplementeerd, waaronder het detecteren van dergelijke aanvallen, het verbannen van IP's en het rapporteren van deze incidenten aan meerdere locaties. Daarnaast leggen we contact met de gepubliceerde contactpersonen voor misbruik van de IP-adressen van de aanvallers.

Huidige toestand

De huidige status is door de IT-afdeling en haar bewakingstools vastgesteld op een “KRITIEK”-status.

aanvallen per uur: 342
momenteel geblokkeerde IP-Adressen: 488
IP-adressen per uur geblokkeerd: 6
de meeste aanvallers kwamen van: Iran (62), Indonesië (45), Verenigde Staten (44), Hongkong (32)

Diagrammen

resolutie kiezen: ruwe data, dag
aantal items kiezen: 10, 20, 30

Geblokkeerde IP-adressen in de tijd

bannedips#Geblokkeerde%20IP-adressen%20in%20de%20tijd#10##png#IR#SafeshipNetworks Als u dit ziet, ondersteunt uw browser de benodigde javascript niet. Probeer de statische versie van deze pagina.

Geblokkeerde IP-adressen en aanvallen per uur

perhour#Geblokkeerde%20IP-adressen%20en%20aanvallen%20per%20uur#10##png#IR#SafeshipNetworks Als u dit ziet, ondersteunt uw browser de benodigde javascript niet. Probeer de statische versie van deze pagina.

Landen met de meeste geblokkeerde IP's

topcountry#Landen%20met%20de%20meeste%20geblokkeerde%20IP%27s#10##png#IR#SafeshipNetworks Als u dit ziet, ondersteunt uw browser de benodigde javascript niet. Probeer de statische versie van deze pagina.

IP-netwerken/organisaties met de meeste geblokkeerde IP's

toporgnet#IP-netwerken%2Forganisaties%20met%20de%20meeste%20geblokkeerde%20IP%27s#10##png#IR#SafeshipNetworks Als u dit ziet, ondersteunt uw browser de benodigde javascript niet. Probeer de statische versie van deze pagina.

Geblokkeerde IP's per land in de loop van de tijd

kiez land:

bannedips_country#Geblokkeerde%20IP%27s%20per%20land%20in%20de%20loop%20van%20de%20tijd#10##png#IR#SafeshipNetworks Als u dit ziet, ondersteunt uw browser de benodigde javascript niet. Probeer de statische versie van deze pagina.

Geblokkeerde IP's per netwerk/organisatie in de loop van de tijd

kiez netwerk:

bannedips_orgnet#Geblokkeerde%20IP%27s%20per%20netwerk%2Forganisatie%20in%20de%20loop%20van%20de%20tijd#10##png#IR#SafeshipNetworks Als u dit ziet, ondersteunt uw browser de benodigde javascript niet. Probeer de statische versie van deze pagina.

Waar de gegevens vandaan komen

Fail2Ban

Wij gebruiken een dienst genaamd Fail2Ban.

Fail2Ban is een softwareframework voor inbraakpreventie. Het is geschreven in de programmeertaal Python en is ontworpen om brute-force aanvallen te voorkomen. Het kan draaien op POSIX-systemen die een interface hebben met een pakketcontrolesysteem of firewall die lokaal is geïnstalleerd, zoals iptables of TCP Wrapper.

https://en.wikipedia.org/wiki/Fail2ban

Functionaliteit

Fail2ban werkt door logbestanden (bijv. /var/log/auth.log, /var/log/apache/access.log, enz.) te controleren op geselecteerde items en op basis daarvan scripts uit te voeren. Meestal wordt dit gebruikt om geselecteerde IP-adressen te blokkeren die mogelijk toebehoren aan hosts die proberen de beveiliging van het systeem te doorbreken. Het kan elk IP-adres blokkeren dat te veel aanmeldpogingen doet of andere ongewenste acties uitvoert binnen een tijdsbestek dat door de beheerder is ingesteld. Het bevat ondersteuning voor zowel IPv4 als IPv6. Optioneel kunnen langere verboden op maat worden geconfigureerd voor “recidivistische” misbruikers die blijven terugkomen. Fail2Ban is meestal zo ingesteld dat een geblokkeerde host binnen een bepaalde tijd weer geblokkeerd wordt, zodat echte verbindingen die tijdelijk verkeerd geconfigureerd zijn, niet geblokkeerd worden. Een unban-tijd van enkele minuten is meestal voldoende om te voorkomen dat een netwerkverbinding wordt overspoeld door kwaadwillende verbindingen, en om de kans op een succesvolle woordenboekaanval te verkleinen.

https://en.wikipedia.org/wiki/Fail2ban

Statistieken

Elke 15 minuten registreert een script op onze servers de huidige status (inclusief alle gebande IP's) van de Fail2Ban-service. Deze informatie wordt opgeslagen in een database.

GeoIP®

Om de geolocatie van een aanvallend IP-adres te bepalen, gebruiken we een service genaamd GeoIP®. De gegevens worden geleverd door het bedrijf MaxMind, Inc. Wij werken onze lokale GeoIP®-databases regelmatig bij met de actuele gegevens van MaxMind.

Whois

Om een netwerk- of organisatienaam in onze statistieken op te nemen, gebruiken we de wereldwijde whois directoryservice. Als een IP geblokkeerd is, voeren we een query uit naar de bijbehorende domeinnaam (obgelost via DNS) voor het IP-adres, als er geen resultaat is, bevragen we het IP-adres zelf. Het resultaat wordt dan verwerkt en de organisatienaam wordt eruit gehaald, als er geen organisatie is, gebruiken we de naam van het IP-netwerk. De gegevens worden een week in de cache bewaard, zodat we geen onnodige zoekopdrachten uitvoeren.

Abusix database met contacten voor misbruik

Omdat we misbruikrapporten per e-mail naar de verantwoordelijke instanties sturen, hebben we daar een e-mailadres voor nodig. We krijgen dit door gebruik te maken van de “Abuse Contact DB” die wordt beheerd door een bedrijf genaamd Abusix, Inc. Deze stap kan worden gedaan door Fail2Ban zelf en de gegevens worden verstrekt via een DNS lookup.

Waar we gegevens aan rapporteren

Wij rapporteren alleen ernstige pogingen tot misbruik, zoals herhaalde aanvallen vanaf een IP-adres, zelfs nadat het IP-adres al voor een korte periode is verbannen.

E-Mail

After the data has been verified by an IT technician, we send a message about the incident to the e-mail address specified by abusix. It is in XARF format and also contains precise log data with the exact times of the attacks.

XARF - eXtended Abuse Reporting Format

XARF is een op JSON gebaseerde notatie voor het rapporteren van misbruik, fraude, virussen of andere problemen met e-mailberichten. Het is gedefinieerd door abusix.

www.blocklist.de

www.blocklist.de is een gratis en vrijwillige dienst die wordt aangeboden door een Fraude/Abuse-specialist, wiens servers vaak worden aangevallen via SSH-, Mail-Login-, FTP-, Webserver- en andere diensten.
De missie is om alle aanvallen te rapporteren aan de respectievelijke abuse afdelingen van de geïnfecteerde PC's/servers, zodat de verantwoordelijke provider hun klant kan informeren over de infectie en de aanvaller kan uitschakelen.

https://www.blocklist.de/en/index.html

aanvallen gerapporteerd: 2.277 - rapporten gegenereerd: 342

Daarnaast biedt www.blocklist.de DNS-blokkeringslijsten, die gebruikt kunnen worden om bekende aanvallers te blokkeren voordat ze daadwerkelijk aanvallen. Wij zijn bezig met de implementatie van deze diensten, die het aantal aanvallen op onze servers aanzienlijk kunnen verminderen.

abuseIPDB

Vergelijkbaar met www.blocklist.de abuseIPDB LLC biedt een service waarmee gebruikers aanvallen kunnen rapporteren en biedt een uitgebreide API voor het opzoeken van IP-adressen om te bepalen of deze toebehoren aan aanvallers.