Zdraveite,
 Imam pusnat server. Sas Slack 10 sam. Ot vreme na vreme
 vijdam ce se opitvat opredeleni IP-ta da vlezat prez SSH-a v
Linuxa.
 Idejta mi e ima li njkakva programa ili njkakva idej kak
 tocno da si napravj njkakav script koito pri njkolko
 neuspesni opita da vlezesh prez SSH avtomaticno da slaga
pravilo v IPTABLES koito da blokira tova IP na vhod?

 SSH-a nemoga da go zatvorj ce kogato ne sam do servera i
nesto se naloji rabotj prez nego ?

 Iskam naprimer pri 2 ili 3 neuspesni opita da blokira IP-to
koeto se opitva da vleze prez SSH .... 

Nadjvam se da ste me razbrali..
Blagodarj ...

 Ima takiva zashtiti, narichat se Intrusion Detection System
(IDE). Az lichno polzvam Portsentry, no ima i drugi.

 TSialata kontseptsiia na IDS (ne IDE, tova e drugo ;) predpolaga
 che puskash poveche trafik kum/ot sebe si ot kolkoto e
 zhelatelno. Vsichkiiat nezhelan trafik triabva da se filtrira,
 nezavisimo kakvo vurvi v/u mashinata ti, oshte poveche ako e
 marshrutizator. Predlagam ti da razgledash dokumentatsiiata na
 Netfilter (netfilter.org) i po spetsiialno vnimanie da oburnesh
na mangle tablitsata.

 Ne znam kakva e ideiata na IDS (lapsus calami;)), samo znam,
 che se grizhi za razpoznavaneto na opiti za probivi i
 suotvetno prilaga niakakvi metodi na zashtita. Naprimer,
 blokira dostupa na suotvetnoto IP za izvesten period ot
 vreme. Tova mozhe da stane kakto chrez iptables, taka i po
drug nachin (naprimer s route).

 Kakvo pravi spetsialno Portsentry. Otvaria ogromno kolichestvo
 soketi, kato po tozi nachin zabluzhdava atakuvashtiia, che na
 mashinata rabotiat desetki uslugi. Pri skanirane se vizhdat
 mnozhestvo otvoreni portove. S edna duma, Portsentry simulira
 uiazvimost na sistemata, za da predizvika eventualniia
 zlostornik. Interesnoto e, che pri skanirane mozhe da vrushta
 interesni otgovori na vraga: "Vnimavai! Nablyudavat te" ili
 "Marsh ottuk!" i razni takiva. Predstaviate li si kolko
obezkurazhavashto e tova:)

 Kakto i da e, mnogo se razprikazvah. Struva si da se opita i
Prelude IDS, razbira se.

 Takiva sistemi (Portsentry) ne sa seriozen metod za zashtita i
ne sa tolerirani ot mnogo spetsialisti. Zashto?

 TSialata rabota s vurshtane na stranni (hm..) suobshteniia na
 atakuvashtiia (predizvikvane eventualniia zlostornik) e meko
kazano neseriozna. 

 Vseki edin opit za probiv mozhe da se simulira ot spoof-nat
 iztochnik (naprimer DNS ili oshte po zle - ROUTER). Kakvo mozhe
da se napravi po natam e iasno.

 Suvsem ne otricham takiva sistemi, no obiknoveno nachina po
 koito se implementirat e totalno nepravilen, a kakto i kato
ideia.

 Kogato stava duma za goliama mrezha e normalno da se razchita
 na IDS podoben softuer, koito alarmira pri uspeshni i
 neuspeshni opiti za probiv, no ne predpriema drugo kritichno
 deistvie. Pravilo #1 na takiva mesta e trafikut ot
 'nepoznati mesta' da se rezhe oshte predi da e stignal do
POSTROUTING i INPUT (primerno, za Linux).

 Napulno sum suglasen. Vsichko tova sa trikove, koito malko
 ilio mnogo sa ot polza, no polzata im ne biva da se
 absolyutizira. Razbira se, kato kazvam, che rabotata na IDS e
 da reagira, tova ne oznachava nepremenno da blokira ili da
 pravi kakvoto i da bilo spriamo atakuvashtiia. Mozhe prosto da
 alarmira administratora, chieto zadulzhenie i bez tova si e da
 sledi sistemata. V tova otnoshoneie, v kombinatsiia na primer s
logcheck nablodenieto se ulesniava neimoverno.

zashto ne probvash s portknocking ?

 Otnosno opitite za SSH logins, naposleduk imashe mnogo
 mallware, koito praveshe opiti za login s prosti
 potrebitelski imena kato "guest", "test". Mozhesh da prochetesh
tozi posting, za da dobiesh predstava:
http://www.ssc.com/pipermail/linux-list/2004-July/021305.html

 Otnosno preventsiiata na gornite opiti za neotoriziran dostup
 do SSH survura ti posredstvom netfilter, mozhesh da napravish
slednoto:
 1. Da slozhish default policy DROP na INPUT chain-a, i da
 razreshish samo tezi uslugi koito triabva da sa publichno
dostupni.
 2. Za porta, na koito slusha ssh demona ti, mozhesh da razreshish

 samo opredelen broi IP adresi, koito da imat dostup. Za
 suzhalenie tova ne vinagi e vuzmozhno (za men tova e
neprilozhimo).
Kakvo sum napravil az po tozi povod? Izpolzvam public key
 authentication, i sum zabranil password authentication.
Tova
mislia reshava problema.
 Taka, che gledai da imash nova versiia na SSH, slozhi
 PermitRootLogin no v sshd_config, prilozhi niakakva politika
 za slozhnostta i trudnostta na parolite si i ne se strahuvai,
ot tezi avtomatizirani opiti za dostup.

Kolkoto do:
 "Iskam naprimer pri 2 ili 3 neuspesni opita da blokira
IP-to
 koeto se opitva da vleze prez SSH .... ", mozhesh da
izpolzvash
swatch ili tensi, za da monitorvash log faila si za takiva
 opiti i da izvurshvash opredeleno deistvie pri neuspeshen
login.

 Mislia, che tova e po chist variant ot vsiakakvi IDS ili HIDS
sistemi (na koito az lichno sum pochitatel).

 Do Nikola: Poniakoga imam chuvstvoto, che zhiveesh v 98 ili 99
 godina. S kakvo PortSentry, shte mu pomogne pri tozi problem,
 sled kato to deistva niakude okolo OSI layer 4, a negoviia
problem e niakude okolo OSI layer 7?
 Da ne govorim, che PortSentry otdavna izzhivia vremeto si,
 Abacus biaha izkupeni ot Cisco. A debian versiiata s nishto
izklyuchitelno ne blesti. Vizh Snort, mozhe i da mu pomogne.

 Do neznaen: Govoreiki za mangle tablitsata, se seshtam kakvo
 pravish gledaiki ot glupavi primeri iz internet. Nikoga, ama
 nikoga ne polzvai mangle tablitsata za filtrirane na paketi.
 Zashto? zashtoto tia NE e prednaznachena za tova. Za spravka
 postingi v netfilter-list na Harald Welte (znaesh koi e
 nali?) i Antony Stone. Prosto zabravi za glupostta "stop the
 badness before it hits our routing table", niama da stane
 nishto ako ia hitne i togava ia spresh. A tova da dropish mesta
 deto ne si poznaval, i che bilo pravilo nomer 1, IMHO e pulna
prostotiia.

 Suzhaliavam ako sum bil direkten, takuv sum si. Ama choveka vi
 zadade prost vupros, a vie vzehte da mu razkazvate za atomni
bombi. Dobre che ne go nakarahte i honeypot da si instalira.

 Katerinski, takiva troll-ove kato teb s lopata da gi rinesh.
 Ima niakolko VUZA v BG deto gi proizvezhdat dazhe. Niamam
 predstava koi si, no s dosta neshta ne si naiasno, che imash i
naglostta da mi govorish obshti prikazki, bez argumenti. 

 Niamam namrenie da oborvam neznanieto ti, no shte vmukna -
 vinagi ima nachin da davash dostup na izrichno zadadeni adresi
 dostup do usluga, puk bili te i dinamichni. Edin veche go
spomenaha, ima i oshte.

 Malko za mangle da si pogovorim. Niama kak da se seshtash kakvi
 glupavi ili slozhni primeri sum gledal, zashtoto prosto ne si
 naiasno. Kato si se razchel iz mail listite na netfilter.org
 da beshe nauchil neshto? Porazpitai tam otkude zapochva putia na
 paketite. Samo ne spomenavai che si ot BG. Mozhesh i da im
 predlozhish mnenie (osobeno na Harald Welte ili na Edmund
 Burke primerno hah) da mahnat DROP target-a ot mangle, tui
 kato toi e samo za markirane na paketi. Samo mezhdu drugoto
 mangle ne e izvun routing tablitsata ti. Vednaga sled kato
 paketite ti minat po lan ili kakvoto imash tam device se
 obrabotvat ot mangle/PREROUTING predi da produlzhat. Nachinut
 da filtrirash mrezha s realni adresi e kato spirash nezhelaniiat
 trafik ili v mangle ili v nat. Mozhesh i vuv filter, s
po-goliama veroiatnost da sburkash.


Za IMHO-to ti se setih za edna vechna misul na CHurchil. 
 A tova koeto imash za 'pulna prostotiia' e vsushtnost osnovna
 kontseptsiia za sigurnost. Inache beshe i dobur zavurshek na
zaiadliv komentar ot durven (bofh) filosof. 

 ;-) "Trol" e laf na ZHoro CHorbadzhiiski, nali ne si toi?
Zashtoto niama da pravia usiliia da pisha.
 Ponezhe mi govorish naizust, a az mnogo mrazia, shte izvadia niakoi
tvoi repliki i shte gi obsudim, stava?

 "Niamam predstava koi si, no s dosta neshta ne si naiasno, che
 imash i naglostta da mi govorish obshti prikazki, bez argumenti.
"
 Heh, s koe ne sum naiasno (tui shte mi go obiasnish sled malko),
 mislia che dosta iasno obiasnih na choveka kak da se zashtiti. Ili
 puk se zasegna za mangle-a :) ? Kude vidia tova "bez
 argumenti"? za vsiaka edna moia duma, prilozhih primeri i
argumenti.

 Za "dinamichnite" dostupi do uslugi, ami shtom ti haresva port
 knocking-a, polzvai si go, za men tova ne e good security
practise. A ako iskash izbroi mi i drugite.

 A za mangle-a, kakvo da si govorim :) Vizhdam si se
 popritesnil, shtom i za Edmund Burke vze da govorish, a negova
 misul mi e v signaturata. Znaesh za kakvo govoria. Niama kakvo
 da pitam otkude zapochval putia na paketite, a kude li
 svurshva? Aha! Da ne bi da govorish za "kernel packet
 travelling/traversal" ? Ama kakvi sa tiia lanove, device-i
 ;-) oburkvash me. Abe ti da ne si ot oniia pishman lan
 administratori? Dano ne si :). Vizh sega, PREROUTING chain-a
 na mangle tablitsata e predi routing tablitsata ti, obratno na
 tvoeto tvurdenie che e, inak niama smisul da dropish tam kakto
 ti pravish (za spravka
 http://open-source.arkoon.net/kernel/kernel_net.png ,
 ftp://ftp.gnumonks.org/pub/doc/packet-journey-2.4.html
 ,http://iptables-tutorial.frozentux.net/chunkyhtml/traversingoftables.html
 ), viarno ima DROP target, no prosto mangle ne e
 prednaznachena za filtrirane, nito puk samo da si markirash
 trafika, kakto si mislish ti. Ima si miasto za filtrirane, i
 to e filter tablitsata, sam go znaesh, i niama zashto da se
pravish na debil. 
 Vizh i tova:
http://iptables-tutorial.frozentux.net/chunkyhtml/mangletable.html)

 "Nachinut da filtrirash mrezha s realni adresi e kato spirash
 nezhelaniiat trafik ili v mangle ili v nat. Mozhesh i vuv
filter, s po-goliama veroiatnost da sburkash."

 Purvo ne mislia, che na netfilter mu puka kakvo ti smiatash za
 realen ili virtualen adres. Vtoro, poviarvai mi ne mozhe ei
 tui netfilter, da se oburka ako vzemesh che filtrirash vuv
 FORWARD na filter, zashtoto moeto momche, da ti izdam edna
 taina, tia zatova e napravena. SHTo ti ne idesh da pitash v
 netfilter lista, pravilno li e da dropia v mangle, a i za
 raznoobrazie v nat, i niama problemi, spomeni che si
bulgarin.
 Vizh, naistina mislia che si malko zaslepen, i che govorish
 gluposti. Az niamam pretentsiiata da znam koi sa osnovnite
 kontseptsii za sigurnost, ili puk "pravilo nomer edno" :), da
 si priznaia ne gi znam. Samo che se staraia da si karam po
pravilata i manual-ite, a tam pishe drugo.
 Mezhdu drugoto, Google pokazva izobilie ot eksperti kato
teb,
zapochvam da si mislia, che v men e problema :)
http://www.google.com/linux?num=30&hl=en&lr=&ie=UTF-8&q=%22prerouting+drop%22&btnG=Google+Search

 Haide, i ne s losho, dano zabelezhish, che pak ne govoria
 "naizust" i "bez argumenti". I vzemi se konsultirai s Nikola
 ili Kolьo, ili prosto niakoi tvoi priiatel na koito imash
doverie.

 P.S. Ne kazvam, che ne e vuzmozhno da dropish v mangle ili nat,
 a che ne pravilno i ne se pravi taka, i che ne e pravilna
"kontseptsiia za sigurnost" kakto se izraziavash ti.

 Ne sum ZHoro CHorbadzhiiski, ama dai da ne se obizhdame :] A
 sushtiiat e mnogo dalech ot izmislianeto na sobstveni frazi i
lafove. 'Trol' e izvestno kato /. opredelenie (ne noun). 

 Spored dosta hora ne sum pishman administrator, a oshte
 po-malko bofh. Napulno naiasno sum sus sadurzhanieto linkovete
 koito si se prestaral da tursish. Fakt e che nito edin
 argument ne dade za mangle, a se opita da obiasniavash kakvo si
 mislili drugi hora. Ako imash kakvo da kazhesh - davai, inache
 stay silent. Vizhdam haresvash da polzvash angliiski dumichki,
taka che shte me razberesh. 

 Za dinamichnite adresi - port knocking e prevuzhoden security
 practice, oshte poveche kato se pravi kodirano. Drug variant ot
 kraia na 90-te (koito mai s nostalgiia pripomni na Nikola
 Antonov) sa bezplatnite DYNDNS uslugi. Dotatuchno e vuv
 firewall skripta si da slozhish ne IP, a ime na host. Sled
 tova ostava da prezarezhdash pravilata prez adekvaten interval
 ot vreme. Ima i drugi vuzmozhnosti, napravi si truda da
prochetesh.

 CHastta za 'moeto momche' napravo ubi ribata i ia ostaviam bez
 komentar. Seriozno si mislia che problemut e v teb. I kakto
chuvam ne sum samo az.

 Ne znam dali shte e polezno tova, koeto sum napravil, no pri
men e taka:
 Instaliral sum snort, koito sledi tseliia trafik kum mrezhov
interfeis, koito mu e posochen napr. eth0.
Ot tuk mozhesh da go izteglish.
http://www.snort.org
Snort-a pishe v edin log-fail, koito e dosta podroben. 
 Ima t.nar. ruleri, koito sa kriterii za namereniiata na
opitvashtite da dostupiat mashinata ti po opredelen nachin.
 Samo snort-a ne e dostatuchen. Dobavil sum kum nego i
guardian.
V momenta aktualnata versiia e Guardian 1.7.
 Tova e edin skript, koito chete log-a na snort-a i reagira
kakto mu kazhesh.
 Po-tochno ima nakolko gotovi skripta, iptables_block.sh i
 iptables_unblock.sh, koito sa elementarni, no se startirat
kogato e neobhodimo.
Tozi suvet mi go dade KUZA i sum blagodaren za ideiata. 
SHTe se radvam ako i drug spodeli mnenie za tazi kombinatsiia.
Pri iadra 2.4 polzva iptables i to dosta uspeshno.
 Do sega sum mnogo dovolen ot tazi kombinatsiia i mi vurshi
dobra rabota.
 Mozhesh i da si napravish sobstven ruler v zavisimost ot
 iziskvaniiata ti, no ima dosta gotovi i mislia che niama da ti
se nalozhi.