Главная » Форум » Gentoo Linux » Системное администрирование

iptables и TARPIT [Альтернативно решено]

micbal 24 Августа, 2009 - 16:49

Решил настроить некоторые входные порты на TARPIT, в место DROP и REJECT (решил проучить брутфорсеров по ssh, задолбали, уже по три раза в сутки (пароли нормальные, не подберут:)). Iptables не принимает TARPIT. Попытался прописать в make.conf USE="extension", не помогает. В ядре все включено. Что я делаю не так?

‹ Squid через динамический ip при использовании 2-х каналов Как проверить sshd на локальном компъбтере? ›
»

нету TARPIT ни в иптаблес, ни

Автор slepnoga, дата создания 24 Августа, 2009 - 17:28.

нету TARPIT ни в иптаблес, ни в ядре.
Он только в патчах из match-o-matik-ng.
Да и не сильно нужен, размер окна и так поменять можно.

П.С Ваша идея сродни идее писания спамерам писем с просьбой не слать спам.
П.П.С и сколько по ,вашему, съест tarpit из ресурсов ботнета ? :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Appendium to Slepnoga's

Автор NightNord, дата создания 24 Августа, 2009 - 22:29.

Appendium to Slepnoga's P.P.S: И самое главное, каким образом от этого пострадают хозяива сего ботнета? =)

»

А если перевесить ssh на

Автор _passer, дата создания 24 Августа, 2009 - 20:19.

А если перевесить ssh на другой порт и в iptables считать количество новых сессий и, например, дропить все, чаще 1 новой сессии в минуту?

Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

»

Да хай себе висит на 22-м :),

Автор slepnoga, дата создания 24 Августа, 2009 - 21:40.

Да хай себе висит на 22-м :), мне все равно кто там стучит.
В действительно критичных местах должна быть многофакторная авторизация :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

.

Автор Anarchist, дата создания 25 Августа, 2009 - 09:17.
slepnoga написал(а):
Да хай себе висит на 22-м :), мне все равно кто там стучит.
В действительно критичных местах должна быть многофакторная авторизация :)

В смысле "многофакторная"?
Необходимо и достаточно авторизации по ключу (в смысле: отсутствия как класса пароля; и нехай бодаясь с fail2ban подбирают значение несуществующего параметра).

:wq
--
Live free or die

»

Anarchist

Автор slepnoga, дата создания 25 Августа, 2009 - 10:33.
Anarchist написал(а):
slepnoga написал(а):
В смысле "многофакторная"?
.

wikipedija написал(а):
В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на использовании нескольких компонент, таких как: информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелки или смарт-карты), и технологии идентификации личности (биометрические данные).

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

можно просто поставить и

Автор evadim, дата создания 24 Августа, 2009 - 20:53.

можно просто поставить и настроить fail2ban

»

/

Автор Anarchist, дата создания 25 Августа, 2009 - 09:15.
evadim написал(а):
можно просто поставить и настроить fail2ban

s/можно/нужно/

:wq
--
Live free or die

»

А зачем?

Автор HolyBoy, дата создания 1 сентября, 2009 - 15:32.
Anarchist написал(а):
s/можно/нужно/

Зачем преумножать сущности? :)

$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp --dport 22 -m recent --set --name SEC --syn -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --rttl --name SEC -j LOG --log-prefix "BRUTE FORCE "
$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --rttl --name SEC -j DROP
»

.

Автор Anarchist, дата создания 1 сентября, 2009 - 15:45.
HolyBoy написал(а):
Anarchist написал(а):
s/можно/нужно/

Зачем преумножать сущности? :)

$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp --dport 22 -m recent --set --name SEC --syn -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --rttl --name SEC -j LOG --log-prefix "BRUTE FORCE "
$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --rttl --name SEC -j DROP

Ну, например хотя бы потому, что (правда, с несколько иными критериями) я бы не ограничился банальным контролем нагрузки (разрешаем только две попытки установления соединения в минуту), а банил бы такие адреса по крайней мере на час...

Ну и стандартная дилемма: простота/эффективность/надёжность vs функциональность.

:wq
--
Live free or die

»

Дык, в том и прелесть, что

Автор HolyBoy, дата создания 1 сентября, 2009 - 16:27.

Дык, в том и прелесть, что когда бот пытается установить соединение, а минута не прошла, то бан продляется ещё на минуту и так до тех пор, пока между соединениями не будет интервал в одну минуту. Если брутфорсить с такой частотой, то смысла нет: долго слишком. К тому ж никто не запрещает поставить частоту в 2 соединения за 3, 4, 5 и тд минут. :) Конечно, зависит от конкретного случая, возможно когда-то и f2b удобнее, но согласись, мой рецепт сильно снижает нужду в этой программе и позволяет обойтись штатными средствами ipt.

»

Спасибо всем за участие!

Автор micbal, дата создания 25 Августа, 2009 - 10:43.

Спасибо всем за участие! Касательно ботнетов, все брутфорсы наблюдаю только с одного IP(всмысле вся атака с одного, а не всегда с одного). Распределенного по адресам пока не было не разу. На сколько я понял, TARPIT сильно занимает временной ресурс сканера-брутфорсера, что приятно по факту. На данный момент у меня и стоит DROP чаще 4 раз в минуту, именно здесь и хотел использовать TARPIT.

Подскажите нормальную документацию по fail2ban, буду изучать, что это.

»

в широком смысле - скрипт на

Автор evadim, дата создания 25 Августа, 2009 - 22:36.

в широком смысле - скрипт на стероидах, который по результатам парсинга логов добавляет/убирает правила фаервола, в дефотной конфигурации - банит на некое время при переборе паролей на ssh/ftp/http и тп

»

Спасибо! Развел логи с

Автор micbal, дата создания 26 Августа, 2009 - 11:10.

Спасибо! Развел логи с помощью syslog-ng, в том числе на /var/log/sshd.log, поставил fail2ban, указал true в секции sshd-iptables, настроил на 3 неудачных повторения, timeban увеличил. Тут-же очередной брутфорсер доказал что все работает, разбираюсь с logrotate.

»

это он в теории занимает

Автор slepnoga, дата создания 1 сентября, 2009 - 20:28.

это он в теории занимает временной ресурс :)
На практике ничто не мешает дропать коннекты с нулевым размером окна.

Прочитайте наконец как он работает

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".