* [Sysadmins] IDS lists
@ 2007-10-10 5:37 Timur Batyrshin
2007-10-10 5:45 ` Anton Gorlov
` (4 more replies)
0 siblings, 5 replies; 15+ messages in thread
From: Timur Batyrshin @ 2007-10-10 5:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
А есть в природе что-нибудь готовое наподобие этого:
Файрволл логирует дропнутые пакеты и потом на основании этого выносится
решение о блокировании некоторых адресов. Например, если какой-нибудь
китаец усердно перебирает пароли к ssh, или ломится по сети на 135
порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
какой на него сделать). Что-то подобное есть в виндовозном каспере --
"Блокировать сеть атакующего".
Есть ли какие-нибудь более менее автоматические средства это сделать
или придется велосипед самому писать?
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:37 [Sysadmins] IDS lists Timur Batyrshin
@ 2007-10-10 5:45 ` Anton Gorlov
2007-10-10 5:48 ` Mikhail A. Pokidko
` (3 subsequent siblings)
4 siblings, 0 replies; 15+ messages in thread
From: Anton Gorlov @ 2007-10-10 5:45 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> А есть в природе что-нибудь готовое наподобие этого:
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".
Я нечто подобное делал через --limit rate --limit-burs.. если слишком
много соеднинений - делал drop
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:37 [Sysadmins] IDS lists Timur Batyrshin
2007-10-10 5:45 ` Anton Gorlov
@ 2007-10-10 5:48 ` Mikhail A. Pokidko
2007-10-10 5:54 ` Avramenko Andrew
2007-10-10 5:55 ` Michael Shigorin
` (2 subsequent siblings)
4 siblings, 1 reply; 15+ messages in thread
From: Mikhail A. Pokidko @ 2007-10-10 5:48 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
10.10.07, Timur Batyrshin написал(а):
> А есть в природе что-нибудь готовое наподобие этого:
>
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".
>
> Есть ли какие-нибудь более менее автоматические средства это сделать
> или придется велосипед самому писать?
На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на
отслеживание перебора паролей хорошо сгодится logwatch (только не
помню, не надо ли ему кого-то еще в связку)
--
ALTLinux Team
xmpp: solar AT solar.net.ru
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:48 ` Mikhail A. Pokidko
@ 2007-10-10 5:54 ` Avramenko Andrew
2007-10-10 6:14 ` Timur Batyrshin
0 siblings, 1 reply; 15+ messages in thread
From: Avramenko Andrew @ 2007-10-10 5:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Mikhail A. Pokidko пишет:
> 10.10.07, Timur Batyrshin написал(а):
>> А есть в природе что-нибудь готовое наподобие этого:
>>
>> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
>> решение о блокировании некоторых адресов. Например, если какой-нибудь
>> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
>> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
>> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
>> какой на него сделать). Что-то подобное есть в виндовозном каспере --
>> "Блокировать сеть атакующего".
>>
>> Есть ли какие-нибудь более менее автоматические средства это сделать
>> или придется велосипед самому писать?
> На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на
> отслеживание перебора паролей хорошо сгодится logwatch (только не
> помню, не надо ли ему кого-то еще в связку)
>
>
У меня есть подозрения, что нехитрыми манипуляциями можно заставить
такие средства заблокировать огромную кучу чужих ip'шников.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:37 [Sysadmins] IDS lists Timur Batyrshin
2007-10-10 5:45 ` Anton Gorlov
2007-10-10 5:48 ` Mikhail A. Pokidko
@ 2007-10-10 5:55 ` Michael Shigorin
2007-10-10 6:23 ` Vladimir V. Kamarzin
2007-10-10 6:32 ` Anton Kvashin
4 siblings, 0 replies; 15+ messages in thread
From: Michael Shigorin @ 2007-10-10 5:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Wed, Oct 10, 2007 at 09:37:34AM +0400, Timur Batyrshin wrote:
> Файрволл логирует дропнутые пакеты и потом на основании этого
> выносится решение о блокировании некоторых адресов. Например,
> если какой-нибудь китаец усердно перебирает пароли к ssh
Конкретно по ssh -- куча. Кажется, BlockHosts и ещё разное:
http://freshmeat.net/search/?q=block+ssh
В Sisyphus было минимум две штуки IIRC...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- Oct 26--27, Kiev, Ukraine:
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 6:14 ` Timur Batyrshin
@ 2007-10-10 6:07 ` Aleksey Avdeev
2007-10-10 6:38 ` Timur Batyrshin
2007-10-10 6:20 ` Avramenko Andrew
1 sibling, 1 reply; 15+ messages in thread
From: Aleksey Avdeev @ 2007-10-10 6:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):
>
...
>
> Можно блокировать не навсегда, а скажем, на час. Или,
> как-нибудь так: допустим, есть счетчик количества атак за единицу
> времени. При превышении определенного порога хост блокируется. После
> этого при опускании его ниже другого определенного порога хост
> разблокируется. Временная блокировка не так страшна.
Есть ли в Сизиые скрипты, её реализующие?
--
С уважением. Алексей.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:54 ` Avramenko Andrew
@ 2007-10-10 6:14 ` Timur Batyrshin
2007-10-10 6:07 ` Aleksey Avdeev
2007-10-10 6:20 ` Avramenko Andrew
0 siblings, 2 replies; 15+ messages in thread
From: Timur Batyrshin @ 2007-10-10 6:14 UTC (permalink / raw)
To: sysadmins
Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):
> >> А есть в природе что-нибудь готовое наподобие этого:
> >>
> >> Файрволл логирует дропнутые пакеты и потом на основании этого
> >> выносится решение о блокировании некоторых адресов. Например, если
> >> какой-нибудь китаец усердно перебирает пароли к ssh, или ломится
> >> по сети на 135 порт (значит там наверняка троянец-спаммер), то
> >> можно его если не сеть, то хотя бы адрес отфильтровать на доступ к
> >> серверу совсем (или mirror какой на него сделать). Что-то подобное
> >> есть в виндовозном каспере -- "Блокировать сеть атакующего".
> >>
> >> Есть ли какие-нибудь более менее автоматические средства это
> >> сделать или придется велосипед самому писать?
> > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а
> > на отслеживание перебора паролей хорошо сгодится logwatch (только не
> > помню, не надо ли ему кого-то еще в связку)
> У меня есть подозрения, что нехитрыми манипуляциями можно заставить
> такие средства заблокировать огромную кучу чужих ip'шников.
Можно блокировать не навсегда, а скажем, на час. Или,
как-нибудь так: допустим, есть счетчик количества атак за единицу
времени. При превышении определенного порога хост блокируется. После
этого при опускании его ниже другого определенного порога хост
разблокируется. Временная блокировка не так страшна.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 6:14 ` Timur Batyrshin
2007-10-10 6:07 ` Aleksey Avdeev
@ 2007-10-10 6:20 ` Avramenko Andrew
2007-10-10 6:39 ` Timur Batyrshin
1 sibling, 1 reply; 15+ messages in thread
From: Avramenko Andrew @ 2007-10-10 6:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> Временная блокировка не так страшна.
Спорный вопрос. Бывают очень важные клиенты, которым нужно обеспечить
100% доступ и если какой-нить недохакер тебе все испортит из-за твоей же
IDS'ки, то будет очень обидно.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:37 [Sysadmins] IDS lists Timur Batyrshin
` (2 preceding siblings ...)
2007-10-10 5:55 ` Michael Shigorin
@ 2007-10-10 6:23 ` Vladimir V. Kamarzin
2007-10-17 13:05 ` Timur Batyrshin
2007-10-10 6:32 ` Anton Kvashin
4 siblings, 1 reply; 15+ messages in thread
From: Vladimir V. Kamarzin @ 2007-10-10 6:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 10 Oct 2007 at 11:37 "TB" == Timur Batyrshin writes:
TB> А есть в природе что-нибудь готовое наподобие этого:
TB> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
TB> решение о блокировании некоторых адресов. Например, если какой-нибудь
TB> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
TB> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
TB> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
TB> какой на него сделать). Что-то подобное есть в виндовозном каспере --
TB> "Блокировать сеть атакующего".
Пример блокировки ssh от asy@:
# cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
[...]
# ssh restriction
-p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j LOG
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j DROP
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 5:37 [Sysadmins] IDS lists Timur Batyrshin
` (3 preceding siblings ...)
2007-10-10 6:23 ` Vladimir V. Kamarzin
@ 2007-10-10 6:32 ` Anton Kvashin
4 siblings, 0 replies; 15+ messages in thread
From: Anton Kvashin @ 2007-10-10 6:32 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> А есть в природе что-нибудь готовое наподобие этого:
>
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов...
> Есть ли какие-нибудь более менее автоматические средства это сделать
> или придется велосипед самому писать?
fail2ban
--
Anton Kvashin
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 6:07 ` Aleksey Avdeev
@ 2007-10-10 6:38 ` Timur Batyrshin
0 siblings, 0 replies; 15+ messages in thread
From: Timur Batyrshin @ 2007-10-10 6:38 UTC (permalink / raw)
To: sysadmins
Aleksey Avdeev (Wed, 10 Oct 2007 10:07:35 +0400):
> > Можно блокировать не навсегда, а скажем, на час. Или,
> > как-нибудь так: допустим, есть счетчик количества атак за единицу
> > времени. При превышении определенного порога хост блокируется. После
> > этого при опускании его ниже другого определенного порога хост
> > разблокируется. Временная блокировка не так страшна.
>
> Есть ли в Сизиые скрипты, её реализующие?
Самому интересно.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 6:20 ` Avramenko Andrew
@ 2007-10-10 6:39 ` Timur Batyrshin
0 siblings, 0 replies; 15+ messages in thread
From: Timur Batyrshin @ 2007-10-10 6:39 UTC (permalink / raw)
To: sysadmins
Avramenko Andrew (Wed, 10 Oct 2007 10:20:18 +0400):
> > Временная блокировка не так страшна.
>
> Спорный вопрос. Бывают очень важные клиенты, которым нужно обеспечить
> 100% доступ и если какой-нить недохакер тебе все испортит из-за твоей
> же IDS'ки, то будет очень обидно.
Их можно в белый список внести.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-10 6:23 ` Vladimir V. Kamarzin
@ 2007-10-17 13:05 ` Timur Batyrshin
2007-10-18 5:22 ` Vladimir V. Kamarzin
0 siblings, 1 reply; 15+ messages in thread
From: Timur Batyrshin @ 2007-10-17 13:05 UTC (permalink / raw)
To: sysadmins
Vladimir V. Kamarzin (Wed, 10 Oct 2007 12:23:14 +0600):
> TB> А есть в природе что-нибудь готовое наподобие этого:
> TB> Файрволл логирует дропнутые пакеты и потом на основании этого
> TB> выносится решение о блокировании некоторых адресов. Например,
> TB> если какой-нибудь китаец усердно перебирает пароли к ssh, или
> TB> ломится по сети на 135 порт (значит там наверняка
> TB> троянец-спаммер), то можно его если не сеть, то хотя бы адрес
> TB> отфильтровать на доступ к серверу совсем (или mirror какой на
> TB> него сделать). Что-то подобное есть в виндовозном каспере --
> TB> "Блокировать сеть атакующего".
>
> Пример блокировки ssh от asy@:
>
> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
> [...]
> # ssh restriction
> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> --seconds 60 --hitcount 4 -j LOG
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> --seconds 60 --hitcount 4 -j DROP
А в последнем случае не лучше будет --rcheck вместо --update ?
Иначе каждый syn будет считаться дважды.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-17 13:05 ` Timur Batyrshin
@ 2007-10-18 5:22 ` Vladimir V. Kamarzin
2007-10-18 6:46 ` Timur Batyrshin
0 siblings, 1 reply; 15+ messages in thread
From: Vladimir V. Kamarzin @ 2007-10-18 5:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 17 Oct 2007 at 19:05 "TB" == Timur Batyrshin writes:
>> Пример блокировки ssh от asy@:
>>
>> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
>> [...]
>> # ssh restriction
>> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
>> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
>> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
>> --seconds 60 --hitcount 4 -j LOG
>> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
>> --seconds 60 --hitcount 4 -j DROP
TB> А в последнем случае не лучше будет --rcheck вместо --update ?
TB> Иначе каждый syn будет считаться дважды.
Как вы это определили?
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] IDS lists
2007-10-18 5:22 ` Vladimir V. Kamarzin
@ 2007-10-18 6:46 ` Timur Batyrshin
0 siblings, 0 replies; 15+ messages in thread
From: Timur Batyrshin @ 2007-10-18 6:46 UTC (permalink / raw)
To: sysadmins
Vladimir V. Kamarzin (Thu, 18 Oct 2007 11:22:49 +0600):
> >> Пример блокировки ssh от asy@:
> >>
> >> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
> >> [...]
> >> # ssh restriction
> >> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> >> --seconds 60 --hitcount 4 -j LOG
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> >> --seconds 60 --hitcount 4 -j DROP
>
> TB> А в последнем случае не лучше будет --rcheck вместо --update ?
> TB> Иначе каждый syn будет считаться дважды.
>
> Как вы это определили?
>
Выдержка из man-а:
---
[!] --rcheck
Check if the source address of the packet is currently in
the list.
[!] --update
Like --rcheck, except it will update the "last seen"
timestamp if it matches.
---
Правда, с другой стороны:
---
[!] --hitcount hits
This option must be used in conjunction with one of
--rcheck or --update. When used, this will nar-
row the match to only happen when the address is in the
list and packets had been received greater
than or equal to the given value. This option may be used
along with --seconds to create an even
narrower match requiring a certain number of hits within
a specific time frame.
---
Не совсем понятно, считает он сами пакеты (в этом случае,
действительно, не важно сколько раз --update встречается в цепочке) или
же совпадения правила?
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2007-10-18 6:46 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-10-10 5:37 [Sysadmins] IDS lists Timur Batyrshin
2007-10-10 5:45 ` Anton Gorlov
2007-10-10 5:48 ` Mikhail A. Pokidko
2007-10-10 5:54 ` Avramenko Andrew
2007-10-10 6:14 ` Timur Batyrshin
2007-10-10 6:07 ` Aleksey Avdeev
2007-10-10 6:38 ` Timur Batyrshin
2007-10-10 6:20 ` Avramenko Andrew
2007-10-10 6:39 ` Timur Batyrshin
2007-10-10 5:55 ` Michael Shigorin
2007-10-10 6:23 ` Vladimir V. Kamarzin
2007-10-17 13:05 ` Timur Batyrshin
2007-10-18 5:22 ` Vladimir V. Kamarzin
2007-10-18 6:46 ` Timur Batyrshin
2007-10-10 6:32 ` Anton Kvashin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git