slacky.eu


https://slacky.eu/forum/

Iptables anti brute force

https://slacky.eu/forum/viewtopic.php?f=5&t=32584

Pagina 1 di 1

Iptables anti brute force

Inviato: gio 15 lug 2010, 19:33
da slux
Ciao ragazzi,
in azienda stiamo preparando il nuovo server web e vorremmo attivare anche un server ftp(lo so è molto rischioso) per permettere ai clienti di fare upload mediante autenticazione.
Gli utenti ftp sono virtuali e mappati ad un utente di sistema con bassissimi privilegi ,senza shell ed in chroot in una directory con l'unico permesso di caricare files,ma non quello di listare la directory.

Comunque sia,il server ftp funziona,l'unica cosa che vorrei implementare è una protezione con iptables per gli attacchi brute force.

Girando su Google ho travato varie guide e tutte suggeriscono più o meno il seguente approccio:

Codice: Seleziona tutto

iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --set --name FTP
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --rttl --name FTP --seconds 60 --hitcount 5 -j DROP
iptables -I INPUT -p tcp --dport 20 -m state --state NEW -m recent --set --name FTP
iptables -I INPUT -p tcp --dport 20 -m state --state NEW -m recent --update --rttl --name FTP --seconds 60 --hitcount 5 -j DROP
In pratica se lo stesso IP tenta 5 connessioni in un minuto questi viene droppato,e mi evito anche così un'attacco di tipo DOS.

Problema:
In modalità passiva ftp funziona,non mi funziona in modalità attiva(timeout).
Se creo due semplici regole di accept sulle porte 20 e 21 invece funziona anche la modalità attiva,quindi sono certo che il problema è in quei filtri anti brute force,ma non saprei dove metter mano.Non sono un'esperto di iptable.

La modalità attiva mi interessa perchè è facilmente utilizzabile da Esplora risorse di Windows e per i clienti meno esperti è veramente semplice da utilizzare.
Ovviamenti i moduli del kernel ip_conntrack e ip_conntrack_ftp sono caricati.
Il sistema operativo è una Centos 5.5 ,ma non credo che faccia molta differenza i questo caso.

Re: Iptable anti brute force

Inviato: ven 16 lug 2010, 1:12
da targzeta
Non rispondo alla tua domanda, ma se hai un server ssh attivo attento al bruteforce anche via ssh. Su di un server ho attualmente 107 ip in blacklist e ne entrano più o meno con la frequenza di uno al giorno. Non ho usato iptables però e quindi come ho già detto non so risponderti.

Emanuele

Re: Iptable anti brute force

Inviato: ven 16 lug 2010, 9:03
da slux
Per ssh non ho problemi,spero.E' blindato sul nostro ip,tutti gli altri vengono scartati.

Re: Iptable anti brute force

Inviato: ven 16 lug 2010, 10:30
da twister
Guarda io per una situazione sulla quale non potevo poi metter troppo le mani ho risolto con fail2ban, alla fine fine non funziona per nulla male, certo affidarsi a tool automatici alle volte ha dei grossi svantagi, ma per situazioni particolari può valer la pena di provare

Re: Iptable anti brute force

Inviato: sab 5 feb 2011, 22:55
da albatross
Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A

Re: Iptable anti brute force

Inviato: dom 6 feb 2011, 0:31
da Bart
twister ha scritto:Guarda io per una situazione sulla quale non potevo poi metter troppo le mani ho risolto con fail2ban, alla fine fine non funziona per nulla male, certo affidarsi a tool automatici alle volte ha dei grossi svantagi, ma per situazioni particolari può valer la pena di provare
fail2ban non è male, nasce proprio per questo tipo di problematiche. Io lo sto usando su un server casalingo e mi trovo bene.
albatross ha scritto:Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
C si becca una denuncia e smette di fare il poniez. :) Scherzi a parte, hai avuto esperienze su casi del genere?

Re: Iptable anti brute force

Inviato: dom 6 feb 2011, 1:22
da targzeta
albatross ha scritto:Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
Il quale A, essendo tuo amico, ti chiede spiegazioni e si risolve senza problemi. Non conosco il comportamento specifico di tutti gli script, comunque dovrebbe esserci sempre una whitelist.

Emanuele

Re: Iptables anti brute force

Inviato: dom 6 feb 2011, 13:21
da albatross
Il problema non è quello di beccarsi una denuncia... infati se le persone sono poche ci si può mettere d'accordo e creare una whitelist come dice spina (lasciando però la porta aperta ad altre persone attraverso IP spoofing). Il discorso si complica se le persone che devono accedere al server ftp aumentano ... Io andrei più su un server ftps (ovvero ftp su canale ssl). Devi infatti considerare che ftp non cifra i canali (di comunicazione e dati) e quindi chiunque sia in ascolto con uno sniffer sulla rete può venire in possesso delle credenziali di accesso. Con ftps potresti utilizzare i certificati da distribuire ai clienti che li userebbero per accedere al server...
Tutti gli orari sono UTC+02:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it