From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <srk@nevod.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,NORMAL_HTTP_TO_IP,
	WEIRD_PORT autolearn=no version=3.2.5
X-Virus-Scanned: amavisd-new at nevod.ru
Message-ID: <4AC0363C.4000506@nevod.ru>
Date: Mon, 28 Sep 2009 10:06:20 +0600
From: =?KOI8-R?Q?=FB=C9=C7=C1=D0=CF=D7_=F2=C9=CE=C1=D4?= <srk@nevod.ru>
User-Agent: Thunderbird 2.0.0.17 (X11/20080929)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <99785b730909252353s6ac41f24l8dbef555ce11b1fc@mail.gmail.com>
In-Reply-To: <99785b730909252353s6ac41f24l8dbef555ce11b1fc@mail.gmail.com>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins]
 =?koi8-r?b?c25vcnQgySDB19TPwszPy8nSz9fLwSDTINDPzc/d?=
 =?koi8-r?b?2MAgaXB0YWJsZXM=?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 28 Sep 2009 04:06:37 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4AC0363C.4000506@nevod.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Yury Konovalov пишет:
> Здравствуйте, как дистрибутивно блокировть какие-либо действия из вне?
> Установил
>
> snort-inline+flexresp - Snort с чтением трафика через IPTables и автоблокировкой
>
>
>   
> Добавил правило:
>
> #Submitted by Matt Jonkman
> alert tcp $EXTERNAL_NET any -> $HOME_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src, count 5, seconds 120; classtype: attempted-recon; reference:url,en.wikipedia.org/wiki/Brute_force_attack <http://en.wikipedia.org/wiki/Brute_force_attack>; sid: 2001219; rev:14;)
>
> alert tcp $HOME_NET any -> $EXTERNAL_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan OUTBOUND"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src, count 5, seconds 120; classtype: attempted-recon; reference:url,en.wikipedia.org/wiki/Brute_force_attack <http://en.wikipedia.org/wiki/Brute_force_attack>; sid: 2003068; rev:2;)
>
>   
>
> С другого адреса начинаю брутофорсить ssh, правило срабатывает:
>
> [**] [1:2003068:2] BLEEDING-EDGE Potential SSH Scan OUTBOUND [**]
>
> [Classification: Attempted Information Leak] [Priority: 2]
> 09/23-08:29:31.467122 82.219.201.133:41256 <http://82.219.201.133:41256> -> 82.219.201.130:2222 <http://82.219.201.130:2222>
> TCP TTL:62 TOS:0x0 ID:14265 IpLen:20 DgmLen:52 DF
>
> ******S* Seq: 0xD0CF4A74  Ack: 0x0  Win: 0x16D0  TcpLen: 32
> TCP Options (6) => MSS: 1460 NOP NOP SackOK NOP WS: 4
> [Xref => http://en.wikipedia.org/wiki/Brute_force_attack]
>
>
>   
> Но не блокируется, как правильно сделать что-бы добавлялось правило 
> iptables для блокировки?
> В бранче не нашел ничего вроде SnortSam, Guardian, Hogwash.
>
Одна из альтернатив - использовать модуль recent для iptables. См., к 
примеру, 
http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/

-- 
С уважением,
        Шигапов Ринат
        инженер-программист ООО "Невод"
        тел. (342)2196960
        JabberID: dxist эт ya.ru