Sr*s, fail2ban
Abraços, Marcelo fabriciogsouza escreveu: > Entendi a regra, mas ela barra todos os acessos inclusive os 'falsos > negativos'. Acho que o amigo está querendo saber se existe um meio de > um IDS (snort, por exemplo) antever o ataque ou o 'falso negativo' e > tomar as devidas providencias, tipo ... gerar regras de bloqueio ao > ataque ou não fazer nada a um usuário esquecido que tenta seguidamente > acertar sua senha (falso negativo). > Essa integração é o que procuro tb, mas os tutos da web estao ruins de > entender, mas de todo caso o site do snort (http://www.snort.org) tem > muita coisa. > > > > --- Em [email protected], "Welington R. Braga" > <[EMAIL PROTECTED]> escreveu > >> Eu uso assim: >> >> #- Cria e alimenta uma lista com novas conexoes em >> /proc/net/ipt_recent/ssh_limitado >> $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent >> > --name > >> ssh_limitado --set >> >> #- Dropa a partir da 4 conexao SSH no intervalo de 300 >> $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent >> > --name > >> ssh_limitado --update --seconds 300 --hitcount 4 -j DROP >> >> # Loga as tentativas de acesso que ainda não cairam no DROP >> $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j LOG >> --log-prefix "[:: SSH ABERTO ::]" >> >> # Permite a conexão se ainda não caiu no DROP (importante, pois >> > minha INPUT > >> Policy é DROP) >> $iptables -A INPUT -p tcp --dport ssh -j ACCEPT >> >> >> Desta forma o indivíduo tem três chances para acertar a senha, se >> > errar vai > >> ficar de castigo por 300 seg. (5 minutos) tempo suficiente para nenhum >> hacker ficar esperando, mas curto o suficiente se for devido a algum >> > usuário > >> meu que errou a senha não reclamar. e de quebra as conexões são >> > logadas (só > >> as três primeiras, já que a partir da 4ª as tentavias caem no DROP, >> > mantendo > >> assim meus logs limpinhos) >> 2006/9/18, Rede - Hábil Tecnologia <[EMAIL PROTECTED]>: >> >>> iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds >>> > 360 -j > >>> DROP >>> iptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,ACK,RST SYN >>> > -m recent > >>> --set -j ACCEPT >>> >>> Não funcionou, em que momento coloco esta regra... depois que a coloco >>> trava todas as minhas conexões >>> remotas com SSH... >>> >>> Teria que fazer mais alguma coisa? >>> Sandro >>> ----- Original Message ----- >>> From: k2flag >>> To: [email protected] >>> Sent: Thursday, September 14, 2006 6:02 PM >>> Subject: Re: [iptables-br] Como executar regra de firewall >>> > diante de um > >>> cenário de possível ataque? >>> >>> >>> Completando, essa regra so aceita um login por vez, bloqueando >>> > por 360 > >>> segundos outra tentativa. >>> >>> 2006/9/14, k2flag <[EMAIL PROTECTED]>: >>> > >>> > #Brute force >>> > iptables -A INPUT -p tcp --dport ssh -m recent --update >>> > --seconds 360 > >>> -j DROP >>> > iptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,ACK,RST >>> > SYN -m > >>> recent --set -j ACCEPT >>> > >>> > Pode aumentar os segundos, mais se a pessoa errar a senha vai >>> > ter que > >>> esperar. >>> > >>> > >>> > >>> > Em 14/09/06, Luiz Escobar <[EMAIL PROTECTED]> escreveu: >>> > >>> > > PO essa eu quero saber também.... >>> > > Se alguem souber manda ai pra lista.... >>> > > >>> > > obrigado... >>> > > >>> > > >>> > > Luiz Escobar >>> > > Analista/Desenvolvedor: >>> > > WEB - HTML/JavaScript/PHP/MySQL >>> > > WINDOWS - Delphi/MyDAC/ASSEMBLER/MySQL/xBase >>> > > DOS - Clipper/Assembler xBase >>> > > LINUX - LAZARUS/Kylix/MySQL; >>> > > http://www.megasistema.com.br >>> > > >>> > > >>> > > ----- Original Message ----- >>> > > From: Murilo Opsfelder Araújo >>> > > To: [email protected] >>> > > Sent: Thursday, September 14, 2006 5:49 PM >>> > > Subject: [iptables-br] Como executar regra de firewall >>> > diante de um > >>> > > cenário >>> > > de possível ataque? >>> > > >>> > > >>> > > Olá pessoal, >>> > > >>> > > Se o meu roteador Linux receber 5 tentativas de acesso via >>> > SSH com > >>> > > senhas inválidas, é possível executar uma regra de firewall >>> bloqueando >>> > > o IP de origem? >>> > > >>> > > Há a possibilidade desse tipo de tarefa ser >>> > realizada/configurada no > >>> > > meu script de firewall ou tem que ser feita com algum outro >>> software, >>> > > como o Snort, por exemplo? >>> > > >>> > > Citei o serviço SSH como exemplo, mas poderia ser um ping of >>> > death, > >>> > > depois de 20 pings, é executado uma regra bloqueando o IP >>> > origem, > >>> tem >>> > > como fazer isso somente com o iptables? Há algum módulo em >>> > especial > >>> > > para isso? >>> > > >>> > > []s >>> > > >>> > > >>> > > -- >>> > > Murilo Opsfelder Araújo >>> > > Linux User #391561 >>> > > ./murilo --opsfelder='araujo' >>> > > >>> > > >>> > > >>> > > >>> > >>> > >>> >>> >>> [As partes desta mensagem que não continham texto foram removidas] >>> >>> >>> >>> [As partes desta mensagem que não continham texto foram removidas] >>> >>> >>> >>> Iptables Brasil na campanha "Não alimente os trolls": >>> - Pense duas vezes antes de responder a comentários provocativos. >>> - Mantenha a qualidade das discussões. >>> Links do Yahoo! Grupos >>> >>> >>> >>> >>> >>> >>> >>> >>> >> -- >> Welington Rodrigues Braga >> >> >> [As partes desta mensagem que não continham texto foram removidas] >> >> > > > > > Iptables Brasil na campanha "Não alimente os trolls": > - Pense duas vezes antes de responder a comentários provocativos. > - Mantenha a qualidade das discussões. > Links do Yahoo! Grupos > > > --------------------------------------------------------------------- Esta mensagem pode conter informacao confidencial. Se voce nao for o destinatario ou a pessoa autorizada a receber esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela contidas ou tomar qualquer acao baseada nessas informacoes. Se voce recebeu esta mensagem por engano, favor avisar imediatamente o remetente, respondendo o e-mail e, em seguida, apague-o. Agradecemos sua cooperacao. This message may contain confidential information. If you are not the addressee or authorized person to receive it for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by replying this e-mail message and delete it. Thanks in advance for your cooperation. ---------------------------------------------------------------------- Faculdade de Medicina USP ----------------------------------------------------------------------
