používáte něco proti brute-force atakům

Dan Lukes dan at obluda.cz
Mon Apr 24 09:44:39 CEST 2006


>> Jaroslav Votruba wrote:
>>  
>>> v logu na serveru mám asi milion šest záznamů z několika IP který se 
>>> snaží brute force najít skulinku.Je mi jasný,že pokud nebudu mít 

	Ja vim, ze pro spoustu lidi to bude nosenim drivi do lesa, ale treba je 
tu i nekdo, kdo s podobnymi vecmi nema velke vlastni zkusenosti.

	At uz zavedet jakykoliv system "automaticke blokace" je treba si vzdy 
rozmyslet, zda tim soucasne neotevirate neprimereny prostor pro DoS utok.

	Napriklad blokovani jmen pri N vadnych pokusech muze snadno vest k 
tomu, ze kdokoliv externi vam kdykoliv zablokuje moznost prihlaseni na 
kterehokoliv (nebo vsechny) uzivatele. Obdobne problematicke muze byt 
omezeni celkoveho poctu prichozich spojeni (at uz pro jednoho ciloveho 
daemona nebo globalne).

	U blokovani "podle zdrojovych IP" je takova moznost samozrejme mensi - 
jen je dobre si rozmyslet, zda lze v konretnim pripade zpusobit "hit" 
pakety s padelanou zdrojovou adresou ci nikoliv.

	Mimochodem - u me je naprosto prevazujici pokus "pokusu" smerovan na 
ucet "root". Vzhledem k tomu, ze typicky je defaultne vzdalene 
prihlasovani na tento ucet zakazano (a to i se zcela spravnym heslem) - 
tedy - pokud si to explicitne neprekonfigurujete, a to nikomu opravdu 
nedoporucuji - jsou takove pokusy vlastne zcela neskodne ...

	Pomerne vyznamne se pocet takovych pokusu da omezit take tim, ze 
dovolim prichozi spojeni jen z tech adres, ktere maji konzistentni DNS 
zaznamy. Pravda, doba potrebna na spojeni se tim, kdyli potrebe dvojiho 
resolveni, mirne prodluzuje. A ano, riskuji tim, ze se nepujde 
prihlasit, pokud nebude dostupny nameserver.

	Jenze, kvuli tomu, ze by sshd mohl "chcipnout" mam na kritickych 
strojich nakonfigurovano jeste "druhe" sshd spoustene z inetd na jinem 
portu, pro ktere jsou nadefinovana pravidla "mekkci" - jenom s tim 
rozdilem, ze na tohoto taemona se mohou prihlasit jen lide z definovane 
skupiny, kdezto ostatni (ani kdyz znaji spravne heslo) nikoliv. Takze 
tenhle "zalozni" pristup resi moznost servisniho zasahu i v pripade s 
nedostupnym DNS ...

						Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz





More information about the Users-l mailing list