Eu tenho um servidor da Web que atende páginas públicas sob uma barragem contínua de solicitações tentando fazer login com várias combinações de credenciais. Eu gostaria de impedir isso bloqueando endereços IP e portas. No log de segurança, posso ver o endereço IP e a porta em que essas solicitações são emitidas, e bloqueei seletivamente vários endereços IP. No entanto, se eu puder bloquear um intervalo de portas que seria muito mais eficiente.
Então, aqui estão minhas perguntas ...
1) O bloqueio de endereços IP e portas é a melhor estratégia? Ou existe uma estratégia melhor?
2) Alguém pode fornecer uma lista padrão de portas que devem permanecer abertas para que o servidor da Web funcione corretamente? ou seja, a porta 80 obviamente deve permanecer aberta. Eu estou procurando uma lista consolidada de portas padrão para web, ftp, e-mail e outros serviços.
1) Sim e não. Bloquear IPs funciona muito bem para impedir ataques de força bruta, mas nunca deve ser visto como segurança.
2) Você pode executar um comando netstat e ver o que está executando e o que precisa deixar aberto. Isso permitiria fazer uma auditoria completa e ver o que você também poderia desativar. A lista varia dependendo do que você está executando e como as coisas estão configuradas.