Repository 32bit  Forum
Repository 64bit  Wiki

Iptables anti brute force

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Iptables anti brute force

Messaggioda slux » gio lug 15, 2010 18:33

Ciao ragazzi,
in azienda stiamo preparando il nuovo server web e vorremmo attivare anche un server ftp(lo so è molto rischioso) per permettere ai clienti di fare upload mediante autenticazione.
Gli utenti ftp sono virtuali e mappati ad un utente di sistema con bassissimi privilegi ,senza shell ed in chroot in una directory con l'unico permesso di caricare files,ma non quello di listare la directory.

Comunque sia,il server ftp funziona,l'unica cosa che vorrei implementare è una protezione con iptables per gli attacchi brute force.

Girando su Google ho travato varie guide e tutte suggeriscono più o meno il seguente approccio:

Codice: Seleziona tutto
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --set --name FTP
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --rttl --name FTP --seconds 60 --hitcount 5 -j DROP
iptables -I INPUT -p tcp --dport 20 -m state --state NEW -m recent --set --name FTP
iptables -I INPUT -p tcp --dport 20 -m state --state NEW -m recent --update --rttl --name FTP --seconds 60 --hitcount 5 -j DROP


In pratica se lo stesso IP tenta 5 connessioni in un minuto questi viene droppato,e mi evito anche così un'attacco di tipo DOS.

Problema:
In modalità passiva ftp funziona,non mi funziona in modalità attiva(timeout).
Se creo due semplici regole di accept sulle porte 20 e 21 invece funziona anche la modalità attiva,quindi sono certo che il problema è in quei filtri anti brute force,ma non saprei dove metter mano.Non sono un'esperto di iptable.

La modalità attiva mi interessa perchè è facilmente utilizzabile da Esplora risorse di Windows e per i clienti meno esperti è veramente semplice da utilizzare.
Ovviamenti i moduli del kernel ip_conntrack e ip_conntrack_ftp sono caricati.
Il sistema operativo è una Centos 5.5 ,ma non credo che faccia molta differenza i questo caso.
Avatar utente
slux
Linux 2.6
Linux 2.6
 
Messaggi: 783
Iscritto il: dom mar 20, 2005 0:00
Località: Prato
Nome Cognome: Andrea Amerini
Slackware: 14.1 x86
Kernel: 3.12.0-smp
Desktop: xfce 4.10

Re: Iptable anti brute force

Messaggioda targzeta » ven lug 16, 2010 0:12

Non rispondo alla tua domanda, ma se hai un server ssh attivo attento al bruteforce anche via ssh. Su di un server ho attualmente 107 ip in blacklist e ne entrano più o meno con la frequenza di uno al giorno. Non ho usato iptables però e quindi come ho già detto non so risponderti.

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6202
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Re: Iptable anti brute force

Messaggioda slux » ven lug 16, 2010 8:03

Per ssh non ho problemi,spero.E' blindato sul nostro ip,tutti gli altri vengono scartati.
Avatar utente
slux
Linux 2.6
Linux 2.6
 
Messaggi: 783
Iscritto il: dom mar 20, 2005 0:00
Località: Prato
Nome Cognome: Andrea Amerini
Slackware: 14.1 x86
Kernel: 3.12.0-smp
Desktop: xfce 4.10

Re: Iptable anti brute force

Messaggioda twister » ven lug 16, 2010 9:30

Guarda io per una situazione sulla quale non potevo poi metter troppo le mani ho risolto con fail2ban, alla fine fine non funziona per nulla male, certo affidarsi a tool automatici alle volte ha dei grossi svantagi, ma per situazioni particolari può valer la pena di provare
Avatar utente
twister
Staff
Staff
 
Messaggi: 1598
Iscritto il: mar nov 11, 2003 0:00
Località: Roma
Slackware: current

Re: Iptable anti brute force

Messaggioda albatross » sab feb 05, 2011 22:55

Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
albatross
Linux 1.0
Linux 1.0
 
Messaggi: 97
Iscritto il: lun ott 20, 2003 23:00

Re: Iptable anti brute force

Messaggioda Bart » dom feb 06, 2011 0:31

twister ha scritto:Guarda io per una situazione sulla quale non potevo poi metter troppo le mani ho risolto con fail2ban, alla fine fine non funziona per nulla male, certo affidarsi a tool automatici alle volte ha dei grossi svantagi, ma per situazioni particolari può valer la pena di provare
fail2ban non è male, nasce proprio per questo tipo di problematiche. Io lo sto usando su un server casalingo e mi trovo bene.
albatross ha scritto:Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
C si becca una denuncia e smette di fare il poniez. :) Scherzi a parte, hai avuto esperienze su casi del genere?
Bart
Staff
Staff
 
Messaggi: 4249
Iscritto il: dom ago 08, 2004 23:00
Località: Rimini

Re: Iptable anti brute force

Messaggioda targzeta » dom feb 06, 2011 1:22

albatross ha scritto:Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
Il quale A, essendo tuo amico, ti chiede spiegazioni e si risolve senza problemi. Non conosco il comportamento specifico di tutti gli script, comunque dovrebbe esserci sempre una whitelist.

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6202
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Re: Iptables anti brute force

Messaggioda albatross » dom feb 06, 2011 13:21

Il problema non è quello di beccarsi una denuncia... infati se le persone sono poche ci si può mettere d'accordo e creare una whitelist come dice spina (lasciando però la porta aperta ad altre persone attraverso IP spoofing). Il discorso si complica se le persone che devono accedere al server ftp aumentano ... Io andrei più su un server ftps (ovvero ftp su canale ssl). Devi infatti considerare che ftp non cifra i canali (di comunicazione e dati) e quindi chiunque sia in ascolto con uno sniffer sulla rete può venire in possesso delle credenziali di accesso. Con ftps potresti utilizzare i certificati da distribuire ai clienti che li userebbero per accedere al server...
albatross
Linux 1.0
Linux 1.0
 
Messaggi: 97
Iscritto il: lun ott 20, 2003 23:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti