para requisições de senha... use o denyhosts ;-)
On Nov 28, 2007 11:24 AM, Marcelo Salavee Lemos <[EMAIL PROTECTED]> wrote: > Sr*s, > > fail2ban > > Abraços, > Marcelo > > fabriciogsouza escreveu: > > > Entendi a regra, mas ela barra todos os acessos inclusive os 'falsos > > negativos'. Acho que o amigo está querendo saber se existe um meio de > > um IDS (snort, por exemplo) antever o ataque ou o 'falso negativo' e > > tomar as devidas providencias, tipo ... gerar regras de bloqueio ao > > ataque ou não fazer nada a um usuário esquecido que tenta seguidamente > > acertar sua senha (falso negativo). > > Essa integração é o que procuro tb, mas os tutos da web estao ruins de > > entender, mas de todo caso o site do snort (http://www.snort.org) tem > > muita coisa. > > > > > > > > --- Em [email protected] <iptables-br%40yahoogrupos.com.br>, > "Welington R. Braga" > > <[EMAIL PROTECTED]> escreveu > > > >> Eu uso assim: > >> > >> #- Cria e alimenta uma lista com novas conexoes em > >> /proc/net/ipt_recent/ssh_limitado > >> $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent > >> > > --name > > > >> ssh_limitado --set > >> > >> #- Dropa a partir da 4 conexao SSH no intervalo de 300 > >> $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent > >> > > --name > > > >> ssh_limitado --update --seconds 300 --hitcount 4 -j DROP > >> > >> # Loga as tentativas de acesso que ainda não cairam no DROP > >> $iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j LOG > >> --log-prefix "[:: SSH ABERTO ::]" > >> > >> # Permite a conexão se ainda não caiu no DROP (importante, pois > >> > > minha INPUT > > > >> Policy é DROP) > >> $iptables -A INPUT -p tcp --dport ssh -j ACCEPT > >> > >> > >> Desta forma o indivíduo tem três chances para acertar a senha, se > >> > > errar vai > > > >> ficar de castigo por 300 seg. (5 minutos) tempo suficiente para nenhum > >> hacker ficar esperando, mas curto o suficiente se for devido a algum > >> > > usuário > > > >> meu que errou a senha não reclamar. e de quebra as conexões são > >> > > logadas (só > > > >> as três primeiras, já que a partir da 4ª as tentavias caem no DROP, > >> > > mantendo > > > >> assim meus logs limpinhos) > >> 2006/9/18, Rede - Hábil Tecnologia <[EMAIL PROTECTED]>: > >> > >>> iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds > >>> > > 360 -j > > > >>> DROP > >>> iptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,ACK,RST SYN > >>> > > -m recent > > > >>> --set -j ACCEPT > >>> > >>> Não funcionou, em que momento coloco esta regra... depois que a coloco > >>> trava todas as minhas conexões > >>> remotas com SSH... > >>> > >>> Teria que fazer mais alguma coisa? > >>> Sandro > >>> ----- Original Message ----- > >>> From: k2flag > >>> To: [email protected] <iptables-br%40yahoogrupos.com.br> > >>> Sent: Thursday, September 14, 2006 6:02 PM > >>> Subject: Re: [iptables-br] Como executar regra de firewall > >>> > > diante de um > > > >>> cenário de possível ataque? > >>> > >>> > >>> Completando, essa regra so aceita um login por vez, bloqueando > >>> > > por 360 > > > >>> segundos outra tentativa. > >>> > >>> 2006/9/14, k2flag <[EMAIL PROTECTED]>: > >>> > > >>> > #Brute force > >>> > iptables -A INPUT -p tcp --dport ssh -m recent --update > >>> > > --seconds 360 > > > >>> -j DROP > >>> > iptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,ACK,RST > >>> > > SYN -m > > > >>> recent --set -j ACCEPT > >>> > > >>> > Pode aumentar os segundos, mais se a pessoa errar a senha vai > >>> > > ter que > > > >>> esperar. > >>> > > >>> > > >>> > > >>> > Em 14/09/06, Luiz Escobar <[EMAIL PROTECTED]> escreveu: > >>> > > >>> > > PO essa eu quero saber também.... > >>> > > Se alguem souber manda ai pra lista.... > >>> > > > >>> > > obrigado... > >>> > > > >>> > > > >>> > > Luiz Escobar > >>> > > Analista/Desenvolvedor: > >>> > > WEB - HTML/JavaScript/PHP/MySQL > >>> > > WINDOWS - Delphi/MyDAC/ASSEMBLER/MySQL/xBase > >>> > > DOS - Clipper/Assembler xBase > >>> > > LINUX - LAZARUS/Kylix/MySQL; > >>> > > http://www.megasistema.com.br > >>> > > > >>> > > > >>> > > ----- Original Message ----- > >>> > > From: Murilo Opsfelder Araújo > >>> > > To: [email protected]<iptables-br%40yahoogrupos.com.br> > >>> > > Sent: Thursday, September 14, 2006 5:49 PM > >>> > > Subject: [iptables-br] Como executar regra de firewall > >>> > > diante de um > > > >>> > > cenário > >>> > > de possível ataque? > >>> > > > >>> > > > >>> > > Olá pessoal, > >>> > > > >>> > > Se o meu roteador Linux receber 5 tentativas de acesso via > >>> > > SSH com > > > >>> > > senhas inválidas, é possível executar uma regra de firewall > >>> bloqueando > >>> > > o IP de origem? > >>> > > > >>> > > Há a possibilidade desse tipo de tarefa ser > >>> > > realizada/configurada no > > > >>> > > meu script de firewall ou tem que ser feita com algum outro > >>> software, > >>> > > como o Snort, por exemplo? > >>> > > > >>> > > Citei o serviço SSH como exemplo, mas poderia ser um ping of > >>> > > death, > > > >>> > > depois de 20 pings, é executado uma regra bloqueando o IP > >>> > > origem, > > > >>> tem > >>> > > como fazer isso somente com o iptables? Há algum módulo em > >>> > > especial > > > >>> > > para isso? > >>> > > > >>> > > []s > >>> > > > >>> > > > >>> > > -- > >>> > > Murilo Opsfelder Araújo > >>> > > Linux User #391561 > >>> > > ./murilo --opsfelder='araujo' > >>> > > > >>> > > > >>> > > > >>> > > > >>> > > >>> > > >>> > >>> > >>> [As partes desta mensagem que não continham texto foram removidas] > >>> > >>> > >>> > >>> [As partes desta mensagem que não continham texto foram removidas] > >>> > >>> > >>> > >>> Iptables Brasil na campanha "Não alimente os trolls": > >>> - Pense duas vezes antes de responder a comentários provocativos. > >>> - Mantenha a qualidade das discussões. > >>> Links do Yahoo! Grupos > >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> > >> -- > >> Welington Rodrigues Braga > >> > >> > >> [As partes desta mensagem que não continham texto foram removidas] > >> > >> > > > > > > > > > > Iptables Brasil na campanha "Não alimente os trolls": > > - Pense duas vezes antes de responder a comentários provocativos. > > - Mantenha a qualidade das discussões. > > Links do Yahoo! Grupos > > > > > > > > ---------------------------------------------------------- > Esta mensagem pode conter informacao confidencial. > Se voce nao for o destinatario ou a pessoa autorizada a receber > esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela > contidas ou tomar qualquer acao baseada nessas informacoes. Se > voce recebeu esta mensagem por engano, favor avisar imediatamente o > remetente, respondendo o e-mail e, em seguida, apague-o. > Agradecemos sua cooperacao. > > This message may contain confidential information. > If you are not the addressee or authorized person to receive it for the > addressee, you must not use, copy, disclose or take any action based on > this message or any information herein. If you have received this message > in error, please advise the sender immediately by replying this e-mail > message and delete it. > Thanks in advance for your cooperation. > ---------------------------------------------------------- > Faculdade de Medicina USP > ---------------------------------------------------------- > > > -- Luiz Antonio Oliveira Analista de Suporte Rapix Tecnologia e Internet www.rapix.com.br TV Show Brasil SA www.tvshowbrasil.com.br Liberty Global, Inc Companies www.lgi.com [As partes desta mensagem que não continham texto foram removidas]
