|
|
VNIMANIE: Izpolzvaite forumite na saita za da zadadete vashite vuprosi.
Vupros |
Ot: Vladi |
Data: 08/21/2004 |
Zdraveite,
Imam pusnat server. Sas Slack 10 sam. Ot vreme na vreme
vijdam ce se opitvat opredeleni IP-ta da vlezat prez SSH-a v
Linuxa.
Idejta mi e ima li njkakva programa ili njkakva idej kak
tocno da si napravj njkakav script koito pri njkolko
neuspesni opita da vlezesh prez SSH avtomaticno da slaga
pravilo v IPTABLES koito da blokira tova IP na vhod?
SSH-a nemoga da go zatvorj ce kogato ne sam do servera i
nesto se naloji rabotj prez nego ?
Iskam naprimer pri 2 ili 3 neuspesni opita da blokira IP-to
koeto se opitva da vleze prez SSH ....
Nadjvam se da ste me razbrali..
Blagodarj ...
|
Otgovor #1 |
Ot: N. Antonov (nikola< at >linux-bg __tochka__ org) |
Data: 08/21/2004 |
Ima takiva zashtiti, narichat se Intrusion Detection System
(IDE). Az lichno polzvam Portsentry, no ima i drugi.
|
Otgovor #2 |
Ot: |
Data: 08/21/2004 |
TSialata kontseptsiia na IDS (ne IDE, tova e drugo ;) predpolaga
che puskash poveche trafik kum/ot sebe si ot kolkoto e
zhelatelno. Vsichkiiat nezhelan trafik triabva da se filtrira,
nezavisimo kakvo vurvi v/u mashinata ti, oshte poveche ako e
marshrutizator. Predlagam ti da razgledash dokumentatsiiata na
Netfilter (netfilter.org) i po spetsiialno vnimanie da oburnesh
na mangle tablitsata.
|
Otgovor #3 |
Ot: N. Antonov (nikola (a) linux-bg__dot__org) |
Data: 08/21/2004 |
Ne znam kakva e ideiata na IDS (lapsus calami;)), samo znam,
che se grizhi za razpoznavaneto na opiti za probivi i
suotvetno prilaga niakakvi metodi na zashtita. Naprimer,
blokira dostupa na suotvetnoto IP za izvesten period ot
vreme. Tova mozhe da stane kakto chrez iptables, taka i po
drug nachin (naprimer s route).
Kakvo pravi spetsialno Portsentry. Otvaria ogromno kolichestvo
soketi, kato po tozi nachin zabluzhdava atakuvashtiia, che na
mashinata rabotiat desetki uslugi. Pri skanirane se vizhdat
mnozhestvo otvoreni portove. S edna duma, Portsentry simulira
uiazvimost na sistemata, za da predizvika eventualniia
zlostornik. Interesnoto e, che pri skanirane mozhe da vrushta
interesni otgovori na vraga: "Vnimavai! Nablyudavat te" ili
"Marsh ottuk!" i razni takiva. Predstaviate li si kolko
obezkurazhavashto e tova:)
Kakto i da e, mnogo se razprikazvah. Struva si da se opita i
Prelude IDS, razbira se.
|
Otgovor #4 |
Ot: |
Data: 08/21/2004 |
Takiva sistemi (Portsentry) ne sa seriozen metod za zashtita i
ne sa tolerirani ot mnogo spetsialisti. Zashto?
TSialata rabota s vurshtane na stranni (hm..) suobshteniia na
atakuvashtiia (predizvikvane eventualniia zlostornik) e meko
kazano neseriozna.
Vseki edin opit za probiv mozhe da se simulira ot spoof-nat
iztochnik (naprimer DNS ili oshte po zle - ROUTER). Kakvo mozhe
da se napravi po natam e iasno.
Suvsem ne otricham takiva sistemi, no obiknoveno nachina po
koito se implementirat e totalno nepravilen, a kakto i kato
ideia.
Kogato stava duma za goliama mrezha e normalno da se razchita
na IDS podoben softuer, koito alarmira pri uspeshni i
neuspeshni opiti za probiv, no ne predpriema drugo kritichno
deistvie. Pravilo #1 na takiva mesta e trafikut ot
'nepoznati mesta' da se rezhe oshte predi da e stignal do
POSTROUTING i INPUT (primerno, za Linux).
|
Otgovor #5 |
Ot: N. Antonov (nikola< at >linux-bg__dot__org) |
Data: 08/21/2004 |
Napulno sum suglasen. Vsichko tova sa trikove, koito malko
ilio mnogo sa ot polza, no polzata im ne biva da se
absolyutizira. Razbira se, kato kazvam, che rabotata na IDS e
da reagira, tova ne oznachava nepremenno da blokira ili da
pravi kakvoto i da bilo spriamo atakuvashtiia. Mozhe prosto da
alarmira administratora, chieto zadulzhenie i bez tova si e da
sledi sistemata. V tova otnoshoneie, v kombinatsiia na primer s
logcheck nablodenieto se ulesniava neimoverno.
|
Otgovor #6 |
Ot: justme |
Data: 08/21/2004 |
zashto ne probvash s portknocking ?
|
Otgovor #7 |
Ot: Dimitar Katerinski (train__at__bofh__dot__bg) |
Data: 08/21/2004 |
Otnosno opitite za SSH logins, naposleduk imashe mnogo
mallware, koito praveshe opiti za login s prosti
potrebitelski imena kato "guest", "test". Mozhesh da prochetesh
tozi posting, za da dobiesh predstava:
http://www.ssc.com/pipermail/linux-list/2004-July/021305.html
Otnosno preventsiiata na gornite opiti za neotoriziran dostup
do SSH survura ti posredstvom netfilter, mozhesh da napravish
slednoto:
1. Da slozhish default policy DROP na INPUT chain-a, i da
razreshish samo tezi uslugi koito triabva da sa publichno
dostupni.
2. Za porta, na koito slusha ssh demona ti, mozhesh da razreshish
samo opredelen broi IP adresi, koito da imat dostup. Za
suzhalenie tova ne vinagi e vuzmozhno (za men tova e
neprilozhimo).
Kakvo sum napravil az po tozi povod? Izpolzvam public key
authentication, i sum zabranil password authentication.
Tova
mislia reshava problema.
Taka, che gledai da imash nova versiia na SSH, slozhi
PermitRootLogin no v sshd_config, prilozhi niakakva politika
za slozhnostta i trudnostta na parolite si i ne se strahuvai,
ot tezi avtomatizirani opiti za dostup.
Kolkoto do:
"Iskam naprimer pri 2 ili 3 neuspesni opita da blokira
IP-to
koeto se opitva da vleze prez SSH .... ", mozhesh da
izpolzvash
swatch ili tensi, za da monitorvash log faila si za takiva
opiti i da izvurshvash opredeleno deistvie pri neuspeshen
login.
Mislia, che tova e po chist variant ot vsiakakvi IDS ili HIDS
sistemi (na koito az lichno sum pochitatel).
Do Nikola: Poniakoga imam chuvstvoto, che zhiveesh v 98 ili 99
godina. S kakvo PortSentry, shte mu pomogne pri tozi problem,
sled kato to deistva niakude okolo OSI layer 4, a negoviia
problem e niakude okolo OSI layer 7?
Da ne govorim, che PortSentry otdavna izzhivia vremeto si,
Abacus biaha izkupeni ot Cisco. A debian versiiata s nishto
izklyuchitelno ne blesti. Vizh Snort, mozhe i da mu pomogne.
Do neznaen: Govoreiki za mangle tablitsata, se seshtam kakvo
pravish gledaiki ot glupavi primeri iz internet. Nikoga, ama
nikoga ne polzvai mangle tablitsata za filtrirane na paketi.
Zashto? zashtoto tia NE e prednaznachena za tova. Za spravka
postingi v netfilter-list na Harald Welte (znaesh koi e
nali?) i Antony Stone. Prosto zabravi za glupostta "stop the
badness before it hits our routing table", niama da stane
nishto ako ia hitne i togava ia spresh. A tova da dropish mesta
deto ne si poznaval, i che bilo pravilo nomer 1, IMHO e pulna
prostotiia.
Suzhaliavam ako sum bil direkten, takuv sum si. Ama choveka vi
zadade prost vupros, a vie vzehte da mu razkazvate za atomni
bombi. Dobre che ne go nakarahte i honeypot da si instalira.
|
Otgovor #8 |
Ot: |
Data: 08/22/2004 |
Katerinski, takiva troll-ove kato teb s lopata da gi rinesh.
Ima niakolko VUZA v BG deto gi proizvezhdat dazhe. Niamam
predstava koi si, no s dosta neshta ne si naiasno, che imash i
naglostta da mi govorish obshti prikazki, bez argumenti.
Niamam namrenie da oborvam neznanieto ti, no shte vmukna -
vinagi ima nachin da davash dostup na izrichno zadadeni adresi
dostup do usluga, puk bili te i dinamichni. Edin veche go
spomenaha, ima i oshte.
Malko za mangle da si pogovorim. Niama kak da se seshtash kakvi
glupavi ili slozhni primeri sum gledal, zashtoto prosto ne si
naiasno. Kato si se razchel iz mail listite na netfilter.org
da beshe nauchil neshto? Porazpitai tam otkude zapochva putia na
paketite. Samo ne spomenavai che si ot BG. Mozhesh i da im
predlozhish mnenie (osobeno na Harald Welte ili na Edmund
Burke primerno hah) da mahnat DROP target-a ot mangle, tui
kato toi e samo za markirane na paketi. Samo mezhdu drugoto
mangle ne e izvun routing tablitsata ti. Vednaga sled kato
paketite ti minat po lan ili kakvoto imash tam device se
obrabotvat ot mangle/PREROUTING predi da produlzhat. Nachinut
da filtrirash mrezha s realni adresi e kato spirash nezhelaniiat
trafik ili v mangle ili v nat. Mozhesh i vuv filter, s
po-goliama veroiatnost da sburkash.
Za IMHO-to ti se setih za edna vechna misul na CHurchil.
A tova koeto imash za 'pulna prostotiia' e vsushtnost osnovna
kontseptsiia za sigurnost. Inache beshe i dobur zavurshek na
zaiadliv komentar ot durven (bofh) filosof.
|
Otgovor #9 |
Ot: Dimitar Katerinski (train__at__bofh__dot__bg) |
Data: 08/22/2004 |
;-) "Trol" e laf na ZHoro CHorbadzhiiski, nali ne si toi?
Zashtoto niama da pravia usiliia da pisha.
Ponezhe mi govorish naizust, a az mnogo mrazia, shte izvadia niakoi
tvoi repliki i shte gi obsudim, stava?
"Niamam predstava koi si, no s dosta neshta ne si naiasno, che
imash i naglostta da mi govorish obshti prikazki, bez argumenti.
"
Heh, s koe ne sum naiasno (tui shte mi go obiasnish sled malko),
mislia che dosta iasno obiasnih na choveka kak da se zashtiti. Ili
puk se zasegna za mangle-a :) ? Kude vidia tova "bez
argumenti"? za vsiaka edna moia duma, prilozhih primeri i
argumenti.
Za "dinamichnite" dostupi do uslugi, ami shtom ti haresva port
knocking-a, polzvai si go, za men tova ne e good security
practise. A ako iskash izbroi mi i drugite.
A za mangle-a, kakvo da si govorim :) Vizhdam si se
popritesnil, shtom i za Edmund Burke vze da govorish, a negova
misul mi e v signaturata. Znaesh za kakvo govoria. Niama kakvo
da pitam otkude zapochval putia na paketite, a kude li
svurshva? Aha! Da ne bi da govorish za "kernel packet
travelling/traversal" ? Ama kakvi sa tiia lanove, device-i
;-) oburkvash me. Abe ti da ne si ot oniia pishman lan
administratori? Dano ne si :). Vizh sega, PREROUTING chain-a
na mangle tablitsata e predi routing tablitsata ti, obratno na
tvoeto tvurdenie che e, inak niama smisul da dropish tam kakto
ti pravish (za spravka
http://open-source.arkoon.net/kernel/kernel_net.png ,
ftp://ftp.gnumonks.org/pub/doc/packet-journey-2.4.html
,http://iptables-tutorial.frozentux.net/chunkyhtml/traversingoftables.html
), viarno ima DROP target, no prosto mangle ne e
prednaznachena za filtrirane, nito puk samo da si markirash
trafika, kakto si mislish ti. Ima si miasto za filtrirane, i
to e filter tablitsata, sam go znaesh, i niama zashto da se
pravish na debil.
Vizh i tova:
http://iptables-tutorial.frozentux.net/chunkyhtml/mangletable.html)
"Nachinut da filtrirash mrezha s realni adresi e kato spirash
nezhelaniiat trafik ili v mangle ili v nat. Mozhesh i vuv
filter, s po-goliama veroiatnost da sburkash."
Purvo ne mislia, che na netfilter mu puka kakvo ti smiatash za
realen ili virtualen adres. Vtoro, poviarvai mi ne mozhe ei
tui netfilter, da se oburka ako vzemesh che filtrirash vuv
FORWARD na filter, zashtoto moeto momche, da ti izdam edna
taina, tia zatova e napravena. SHTo ti ne idesh da pitash v
netfilter lista, pravilno li e da dropia v mangle, a i za
raznoobrazie v nat, i niama problemi, spomeni che si
bulgarin.
Vizh, naistina mislia che si malko zaslepen, i che govorish
gluposti. Az niamam pretentsiiata da znam koi sa osnovnite
kontseptsii za sigurnost, ili puk "pravilo nomer edno" :), da
si priznaia ne gi znam. Samo che se staraia da si karam po
pravilata i manual-ite, a tam pishe drugo.
Mezhdu drugoto, Google pokazva izobilie ot eksperti kato
teb,
zapochvam da si mislia, che v men e problema :)
http://www.google.com/linux?num=30&hl=en&lr=&ie=UTF-8&q=%22prerouting+drop%22&btnG=Google+Search
Haide, i ne s losho, dano zabelezhish, che pak ne govoria
"naizust" i "bez argumenti". I vzemi se konsultirai s Nikola
ili Kolьo, ili prosto niakoi tvoi priiatel na koito imash
doverie.
P.S. Ne kazvam, che ne e vuzmozhno da dropish v mangle ili nat,
a che ne pravilno i ne se pravi taka, i che ne e pravilna
"kontseptsiia za sigurnost" kakto se izraziavash ti.
|
Otgovor #10 |
Ot: |
Data: 08/22/2004 |
Ne sum ZHoro CHorbadzhiiski, ama dai da ne se obizhdame :] A
sushtiiat e mnogo dalech ot izmislianeto na sobstveni frazi i
lafove. 'Trol' e izvestno kato /. opredelenie (ne noun).
Spored dosta hora ne sum pishman administrator, a oshte
po-malko bofh. Napulno naiasno sum sus sadurzhanieto linkovete
koito si se prestaral da tursish. Fakt e che nito edin
argument ne dade za mangle, a se opita da obiasniavash kakvo si
mislili drugi hora. Ako imash kakvo da kazhesh - davai, inache
stay silent. Vizhdam haresvash da polzvash angliiski dumichki,
taka che shte me razberesh.
Za dinamichnite adresi - port knocking e prevuzhoden security
practice, oshte poveche kato se pravi kodirano. Drug variant ot
kraia na 90-te (koito mai s nostalgiia pripomni na Nikola
Antonov) sa bezplatnite DYNDNS uslugi. Dotatuchno e vuv
firewall skripta si da slozhish ne IP, a ime na host. Sled
tova ostava da prezarezhdash pravilata prez adekvaten interval
ot vreme. Ima i drugi vuzmozhnosti, napravi si truda da
prochetesh.
CHastta za 'moeto momche' napravo ubi ribata i ia ostaviam bez
komentar. Seriozno si mislia che problemut e v teb. I kakto
chuvam ne sum samo az.
|
Otgovor #11 |
Ot: begin4o |
Data: 08/24/2004 |
Ne znam dali shte e polezno tova, koeto sum napravil, no pri
men e taka:
Instaliral sum snort, koito sledi tseliia trafik kum mrezhov
interfeis, koito mu e posochen napr. eth0.
Ot tuk mozhesh da go izteglish.
http://www.snort.org
Snort-a pishe v edin log-fail, koito e dosta podroben.
Ima t.nar. ruleri, koito sa kriterii za namereniiata na
opitvashtite da dostupiat mashinata ti po opredelen nachin.
Samo snort-a ne e dostatuchen. Dobavil sum kum nego i
guardian.
V momenta aktualnata versiia e Guardian 1.7.
Tova e edin skript, koito chete log-a na snort-a i reagira
kakto mu kazhesh.
Po-tochno ima nakolko gotovi skripta, iptables_block.sh i
iptables_unblock.sh, koito sa elementarni, no se startirat
kogato e neobhodimo.
Tozi suvet mi go dade KUZA i sum blagodaren za ideiata.
SHTe se radvam ako i drug spodeli mnenie za tazi kombinatsiia.
Pri iadra 2.4 polzva iptables i to dosta uspeshno.
Do sega sum mnogo dovolen ot tazi kombinatsiia i mi vurshi
dobra rabota.
Mozhesh i da si napravish sobstven ruler v zavisimost ot
iziskvaniiata ti, no ima dosta gotovi i mislia che niama da ti
se nalozhi.
|
<< Mplayer (1
) | za izpulnenie na komandi s sudo (0
) >>
|
|
|
|
|