používáte něco proti brute-force atakům
Dan Lukes
dan at obluda.cz
Mon Apr 24 09:44:39 CEST 2006
>> Jaroslav Votruba wrote:
>>
>>> v logu na serveru mám asi milion šest záznamů z několika IP který se
>>> snaží brute force najít skulinku.Je mi jasný,že pokud nebudu mít
Ja vim, ze pro spoustu lidi to bude nosenim drivi do lesa, ale treba je
tu i nekdo, kdo s podobnymi vecmi nema velke vlastni zkusenosti.
At uz zavedet jakykoliv system "automaticke blokace" je treba si vzdy
rozmyslet, zda tim soucasne neotevirate neprimereny prostor pro DoS utok.
Napriklad blokovani jmen pri N vadnych pokusech muze snadno vest k
tomu, ze kdokoliv externi vam kdykoliv zablokuje moznost prihlaseni na
kterehokoliv (nebo vsechny) uzivatele. Obdobne problematicke muze byt
omezeni celkoveho poctu prichozich spojeni (at uz pro jednoho ciloveho
daemona nebo globalne).
U blokovani "podle zdrojovych IP" je takova moznost samozrejme mensi -
jen je dobre si rozmyslet, zda lze v konretnim pripade zpusobit "hit"
pakety s padelanou zdrojovou adresou ci nikoliv.
Mimochodem - u me je naprosto prevazujici pokus "pokusu" smerovan na
ucet "root". Vzhledem k tomu, ze typicky je defaultne vzdalene
prihlasovani na tento ucet zakazano (a to i se zcela spravnym heslem) -
tedy - pokud si to explicitne neprekonfigurujete, a to nikomu opravdu
nedoporucuji - jsou takove pokusy vlastne zcela neskodne ...
Pomerne vyznamne se pocet takovych pokusu da omezit take tim, ze
dovolim prichozi spojeni jen z tech adres, ktere maji konzistentni DNS
zaznamy. Pravda, doba potrebna na spojeni se tim, kdyli potrebe dvojiho
resolveni, mirne prodluzuje. A ano, riskuji tim, ze se nepujde
prihlasit, pokud nebude dostupny nameserver.
Jenze, kvuli tomu, ze by sshd mohl "chcipnout" mam na kritickych
strojich nakonfigurovano jeste "druhe" sshd spoustene z inetd na jinem
portu, pro ktere jsou nadefinovana pravidla "mekkci" - jenom s tim
rozdilem, ze na tohoto taemona se mohou prihlasit jen lide z definovane
skupiny, kdezto ostatni (ani kdyz znaji spravne heslo) nikoliv. Takze
tenhle "zalozni" pristup resi moznost servisniho zasahu i v pripade s
nedostupnym DNS ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list