Entendi a regra, mas ela barra todos os acessos inclusive os 'falsos negativos'. Acho que o amigo está querendo saber se existe um meio de um IDS (snort, por exemplo) antever o ataque ou o 'falso negativo' e tomar as devidas providencias, tipo ... gerar regras de bloqueio ao ataque ou não fazer nada a um usuário esquecido que tenta seguidamente acertar sua senha (falso negativo). Essa integração é o que procuro tb, mas os tutos da web estao ruins de entender, mas de todo caso o site do snort (http://www.snort.org) tem muita coisa.
--- Em [email protected], "Welington R. Braga" <[EMAIL PROTECTED]> escreveu > > Eu uso assim: > > #- Cria e alimenta uma lista com novas conexoes em > /proc/net/ipt_recent/ssh_limitado > $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --name > ssh_limitado --set > > #- Dropa a partir da 4 conexao SSH no intervalo de 300 > $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --name > ssh_limitado --update --seconds 300 --hitcount 4 -j DROP > > # Loga as tentativas de acesso que ainda não cairam no DROP > $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j LOG > --log-prefix "[:: SSH ABERTO ::]" > > # Permite a conexão se ainda não caiu no DROP (importante, pois minha INPUT > Policy é DROP) > $iptables -A INPUT -p tcp --dport ssh -j ACCEPT > > > Desta forma o indivíduo tem três chances para acertar a senha, se errar vai > ficar de castigo por 300 seg. (5 minutos) tempo suficiente para nenhum > hacker ficar esperando, mas curto o suficiente se for devido a algum usuário > meu que errou a senha não reclamar. e de quebra as conexões são logadas (só > as três primeiras, já que a partir da 4ª as tentavias caem no DROP, mantendo > assim meus logs limpinhos) > 2006/9/18, Rede - Hábil Tecnologia <[EMAIL PROTECTED]>: > > > > iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 360 -j > > DROP > > iptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,ACK,RST SYN -m recent > > --set -j ACCEPT > > > > Não funcionou, em que momento coloco esta regra... depois que a coloco > > trava todas as minhas conexões > > remotas com SSH... > > > > Teria que fazer mais alguma coisa? > > Sandro > > ----- Original Message ----- > > From: k2flag > > To: [email protected] > > Sent: Thursday, September 14, 2006 6:02 PM > > Subject: Re: [iptables-br] Como executar regra de firewall diante de um > > cenário de possível ataque? > > > > > > Completando, essa regra so aceita um login por vez, bloqueando por 360 > > segundos outra tentativa. > > > > 2006/9/14, k2flag <[EMAIL PROTECTED]>: > > > > > > #Brute force > > > iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 360 > > -j DROP > > > iptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,ACK,RST SYN -m > > recent --set -j ACCEPT > > > > > > Pode aumentar os segundos, mais se a pessoa errar a senha vai ter que > > esperar. > > > > > > > > > > > > Em 14/09/06, Luiz Escobar <[EMAIL PROTECTED]> escreveu: > > > > > > > PO essa eu quero saber também.... > > > > Se alguem souber manda ai pra lista.... > > > > > > > > obrigado... > > > > > > > > > > > > Luiz Escobar > > > > Analista/Desenvolvedor: > > > > WEB - HTML/JavaScript/PHP/MySQL > > > > WINDOWS - Delphi/MyDAC/ASSEMBLER/MySQL/xBase > > > > DOS - Clipper/Assembler xBase > > > > LINUX - LAZARUS/Kylix/MySQL; > > > > http://www.megasistema.com.br > > > > > > > > > > > > ----- Original Message ----- > > > > From: Murilo Opsfelder Araújo > > > > To: [email protected] > > > > Sent: Thursday, September 14, 2006 5:49 PM > > > > Subject: [iptables-br] Como executar regra de firewall diante de um > > > > cenário > > > > de possível ataque? > > > > > > > > > > > > Olá pessoal, > > > > > > > > Se o meu roteador Linux receber 5 tentativas de acesso via SSH com > > > > senhas inválidas, é possível executar uma regra de firewall > > bloqueando > > > > o IP de origem? > > > > > > > > Há a possibilidade desse tipo de tarefa ser realizada/configurada no > > > > meu script de firewall ou tem que ser feita com algum outro > > software, > > > > como o Snort, por exemplo? > > > > > > > > Citei o serviço SSH como exemplo, mas poderia ser um ping of death, > > > > depois de 20 pings, é executado uma regra bloqueando o IP origem, > > tem > > > > como fazer isso somente com o iptables? Há algum módulo em especial > > > > para isso? > > > > > > > > []s > > > > > > > > > > > > -- > > > > Murilo Opsfelder Araújo > > > > Linux User #391561 > > > > ./murilo --opsfelder='araujo' > > > > > > > > > > > > > > > > > > > > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > > Iptables Brasil na campanha "Não alimente os trolls": > > - Pense duas vezes antes de responder a comentários provocativos. > > - Mantenha a qualidade das discussões. > > Links do Yahoo! Grupos > > > > > > > > > > > > > > > > > > > -- > Welington Rodrigues Braga > > > [As partes desta mensagem que não continham texto foram removidas] >
