<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: arial,helvetica,sans-serif; font-size: 10pt; color: #000000'>That's not always feasible.<div><br></div><div>My routers have ACLs, but my servers for the most part do not.</div><div><br></div><div><br></div><div>It's kind of counter productive to put ACLs on SMTP, POP3, IMAP, and HTTP\S ports, now isn't it? SIP, FTP, and SSH may or may not make sense, depending on the type and volume of users.</div><div><br></div><div><br></div><div><br></div><div>Since there are at least some services that are subject to attack that must remain available to the whole Internet, the "just ACL everything" argument goes into the trash. We're back to how to handle abuse report generation and processing in a way that it is taken seriously by those within such a desire to do so.</div><div><br><div><span name="x"></span><br><br>-----<br>Mike Hammett<br>Intelligent Computing Solutions<br>http://www.ics-il.com<br><br>Midwest-IX<br>http://www.midwest-ix.com<span name="x"></span><br></div><br><hr id="zwchr"><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;"><b>From: </b>"Stephen Satchell" <list@satchell.net><br><b>To: </b>nanog@nanog.org<br><b>Sent: </b>Wednesday, April 29, 2020 11:50:42 AM<br><b>Subject: </b>Re: Abuse Desks<br><br>On 4/29/20 9:24 AM, Mukund Sivaraman wrote:<br>> If there's a lock on my door, and someone tries to pick it, you can call<br>> me at fault for having a lock on my door facing outside all you<br>> want. But the thief picking it has no business doing so, and will be<br>> guilty of a crime if caught.<br><br>This is a good start to an analogy.  Let's build on it, courtesy to <br>YouTube's "Lock Picking Lawyer".  In a video, the host shows how to <br>improve the security of a common easily-picked home lock: drill holes in <br>the lock body, such that if someone picks the lock and tries to turn the <br>keyway, the pins will fall into those carefully-placed holes and foil <br>The Bad Guy(tm).<br><br>In the networking world, we use an Access Control List to limit access <br>to the service.  Unlike the simple modification shown in LPL's video, <br>the "lock" is still usable by users from authorized IP addresses.  Or, <br>we require the use of certificates to validate access within the SSHD <br>server itself.<br><br>Here's the deal:  just blocking access or requiring certificate-based <br>access is intrusion prevention.  Having a log event when there are <br>unsuccessful probes is intrusion [attempt] detection.  Sure, the <br>ne'er-do-well is kept out in the prevention cycle, but a persistent <br>cracker lives by the axiom "if at first you don't succeed, try something <br>else."  You really want to stop an attacker from making a large number <br>of attempts, such as with a Joe script.<br><br>I turn off root SSH access, pinhole 22/tcp to a limited number of IP <br>addresses, and monitor failed SUDO attempts.  As I build up my new <br>firewall, I'll turn off public SSH access completely, and instead use a <br>robust VPN implementation.  (Which has its own issues.)<br><br></div><br></div></div></body></html>