[Sysadmins] IDS lists

[Sysadmins] IDS lists

[Timur Batyrshin]

А есть в природе что-нибудь готовое наподобие этого:

Файрволл логирует дропнутые пакеты и потом на основании этого выносится
решение о блокировании некоторых адресов. Например, если какой-нибудь
китаец усердно перебирает пароли к ssh, или ломится по сети на 135
порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
какой на него сделать). Что-то подобное есть в виндовозном каспере --
"Блокировать сеть атакующего".

Есть ли какие-нибудь более менее автоматические средства это сделать
или придется велосипед самому писать?

Re: [Sysadmins] IDS lists

[Anton Gorlov]

Timur Batyrshin пишет:
> А есть в природе что-нибудь готовое наподобие этого:
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".

Я нечто подобное делал через --limit rate --limit-burs.. если слишком 
много соеднинений - делал drop

Re: [Sysadmins] IDS lists

[Mikhail A. Pokidko]

10.10.07, Timur Batyrshin написал(а):
> А есть в природе что-нибудь готовое наподобие этого:
>
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".
>
> Есть ли какие-нибудь более менее автоматические средства это сделать
> или придется велосипед самому писать?
На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на
отслеживание перебора паролей хорошо сгодится logwatch (только не
помню, не надо ли ему кого-то еще в связку)


-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Sysadmins] IDS lists

[Avramenko Andrew]

Mikhail A. Pokidko пишет:
> 10.10.07, Timur Batyrshin написал(а):
>> А есть в природе что-нибудь готовое наподобие этого:
>>
>> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
>> решение о блокировании некоторых адресов. Например, если какой-нибудь
>> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
>> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
>> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
>> какой на него сделать). Что-то подобное есть в виндовозном каспере --
>> "Блокировать сеть атакующего".
>>
>> Есть ли какие-нибудь более менее автоматические средства это сделать
>> или придется велосипед самому писать?
> На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на
> отслеживание перебора паролей хорошо сгодится logwatch (только не
> помню, не надо ли ему кого-то еще в связку)
> 
> 

У меня есть подозрения, что нехитрыми манипуляциями можно заставить 
такие средства заблокировать огромную кучу чужих ip'шников.

Re: [Sysadmins] IDS lists

[Michael Shigorin]

On Wed, Oct 10, 2007 at 09:37:34AM +0400, Timur Batyrshin wrote:
> Файрволл логирует дропнутые пакеты и потом на основании этого
> выносится решение о блокировании некоторых адресов. Например,
> если какой-нибудь китаец усердно перебирает пароли к ssh

Конкретно по ssh -- куча.  Кажется, BlockHosts и ещё разное:
http://freshmeat.net/search/?q=block+ssh

В Sisyphus было минимум две штуки IIRC...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Sysadmins] IDS lists

[Aleksey Avdeev]

Timur Batyrshin пишет:
> Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):
> 
...
> 
> Можно блокировать не навсегда, а скажем, на час. Или,
> как-нибудь так: допустим, есть счетчик количества атак за единицу
> времени. При превышении определенного порога хост блокируется. После
> этого при опускании его ниже другого определенного порога хост
> разблокируется. Временная блокировка не так страшна.

  Есть ли в Сизиые скрипты, её реализующие?

-- 

С уважением. Алексей.

Re: [Sysadmins] IDS lists

[Timur Batyrshin]

Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):

> >> А есть в природе что-нибудь готовое наподобие этого:
> >>
> >> Файрволл логирует дропнутые пакеты и потом на основании этого
> >> выносится решение о блокировании некоторых адресов. Например, если
> >> какой-нибудь китаец усердно перебирает пароли к ssh, или ломится
> >> по сети на 135 порт (значит там наверняка троянец-спаммер), то
> >> можно его если не сеть, то хотя бы адрес отфильтровать на доступ к
> >> серверу совсем (или mirror какой на него сделать). Что-то подобное
> >> есть в виндовозном каспере -- "Блокировать сеть атакующего".
> >>
> >> Есть ли какие-нибудь более менее автоматические средства это
> >> сделать или придется велосипед самому писать?
> > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а
> > на отслеживание перебора паролей хорошо сгодится logwatch (только не
> > помню, не надо ли ему кого-то еще в связку)
> У меня есть подозрения, что нехитрыми манипуляциями можно заставить 
> такие средства заблокировать огромную кучу чужих ip'шников.

Можно блокировать не навсегда, а скажем, на час. Или,
как-нибудь так: допустим, есть счетчик количества атак за единицу
времени. При превышении определенного порога хост блокируется. После
этого при опускании его ниже другого определенного порога хост
разблокируется. Временная блокировка не так страшна.

Re: [Sysadmins] IDS lists

[Avramenko Andrew]

Timur Batyrshin пишет:

> Временная блокировка не так страшна.

Спорный вопрос. Бывают очень важные клиенты, которым нужно обеспечить 
100% доступ и если какой-нить недохакер тебе все испортит из-за твоей же 
  IDS'ки, то будет очень обидно.

Re: [Sysadmins] IDS lists

[Vladimir V. Kamarzin]

>>>>> On 10 Oct 2007 at 11:37 "TB" == Timur Batyrshin writes:

 TB> А есть в природе что-нибудь готовое наподобие этого:
 TB> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
 TB> решение о блокировании некоторых адресов. Например, если какой-нибудь
 TB> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
 TB> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
 TB> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
 TB> какой на него сделать). Что-то подобное есть в виндовозном каспере --
 TB> "Блокировать сеть атакующего".

Пример блокировки ssh от asy@:

# cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
[...]
# ssh restriction
-p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j LOG
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j DROP

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] IDS lists

[Anton Kvashin]

Timur Batyrshin пишет:
> А есть в природе что-нибудь готовое наподобие этого:
> 
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов...
> Есть ли какие-нибудь более менее автоматические средства это сделать
> или придется велосипед самому писать?

fail2ban

-- 
Anton Kvashin

Re: [Sysadmins] IDS lists

[Timur Batyrshin]

Aleksey Avdeev (Wed, 10 Oct 2007 10:07:35 +0400):

> > Можно блокировать не навсегда, а скажем, на час. Или,
> > как-нибудь так: допустим, есть счетчик количества атак за единицу
> > времени. При превышении определенного порога хост блокируется. После
> > этого при опускании его ниже другого определенного порога хост
> > разблокируется. Временная блокировка не так страшна.
> 
>   Есть ли в Сизиые скрипты, её реализующие?

Самому интересно.

Re: [Sysadmins] IDS lists

[Timur Batyrshin]

Avramenko Andrew (Wed, 10 Oct 2007 10:20:18 +0400):

> > Временная блокировка не так страшна.
> 
> Спорный вопрос. Бывают очень важные клиенты, которым нужно обеспечить 
> 100% доступ и если какой-нить недохакер тебе все испортит из-за твоей
> же IDS'ки, то будет очень обидно.

Их можно в белый список внести.

Re: [Sysadmins] IDS lists

[Timur Batyrshin]

Vladimir V. Kamarzin (Wed, 10 Oct 2007 12:23:14 +0600):

>  TB> А есть в природе что-нибудь готовое наподобие этого:
>  TB> Файрволл логирует дропнутые пакеты и потом на основании этого
>  TB> выносится решение о блокировании некоторых адресов. Например,
>  TB> если какой-нибудь китаец усердно перебирает пароли к ssh, или
>  TB> ломится по сети на 135 порт (значит там наверняка
>  TB> троянец-спаммер), то можно его если не сеть, то хотя бы адрес
>  TB> отфильтровать на доступ к серверу совсем (или mirror какой на
>  TB> него сделать). Что-то подобное есть в виндовозном каспере --
>  TB> "Блокировать сеть атакующего".
> 
> Пример блокировки ssh от asy@:
> 
> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
> [...]
> # ssh restriction
> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> --seconds 60 --hitcount 4 -j LOG
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> --seconds 60 --hitcount 4 -j DROP

А в последнем случае не лучше будет --rcheck вместо --update ?
Иначе каждый syn будет считаться дважды.

Re: [Sysadmins] IDS lists

[Vladimir V. Kamarzin]

>>>>> On 17 Oct 2007 at 19:05 "TB" == Timur Batyrshin writes:

>> Пример блокировки ssh от asy@:
>> 
>> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
>> [...]
>> # ssh restriction
>> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
>> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
>> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
>> --seconds 60 --hitcount 4 -j LOG
>> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
>> --seconds 60 --hitcount 4 -j DROP

 TB> А в последнем случае не лучше будет --rcheck вместо --update ?
 TB> Иначе каждый syn будет считаться дважды.

Как вы это определили?

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] IDS lists

[Timur Batyrshin]

Vladimir V. Kamarzin (Thu, 18 Oct 2007 11:22:49 +0600):

> >> Пример блокировки ssh от asy@:
> >> 
> >> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
> >> [...]
> >> # ssh restriction
> >> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> >> --seconds 60 --hitcount 4 -j LOG
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> >> --seconds 60 --hitcount 4 -j DROP
> 
>  TB> А в последнем случае не лучше будет --rcheck вместо --update ?
>  TB> Иначе каждый syn будет считаться дважды.
> 
> Как вы это определили?
> 

Выдержка из man-а:

---
       [!] --rcheck
              Check if the source address of the packet is currently in
the list.

       [!] --update
              Like --rcheck, except it will update the "last seen"
timestamp if it matches.
---

Правда, с другой стороны:
---
       [!] --hitcount hits
              This option must be used in conjunction with one of
--rcheck or --update. When used, this will nar-
              row  the match to only happen when the address is in the
list and packets had been received greater
              than or equal to the given value. This option may be used
along with --seconds to  create  an  even
              narrower match requiring a certain number of hits within
a specific time frame.
---

Не совсем понятно, считает он сами пакеты (в этом случае,
действительно, не важно сколько раз --update встречается в цепочке) или
же совпадения правила?