É possivel elaborar algum script q bloqueie um determinado IP por um determinado tempo após um numero excessivo de acesso sem exito, alguém tentando acesso por brute force poe exemplo?
Desde ja agradeço a atenção.
É possivel elaborar algum script q bloqueie um determinado IP por um determinado tempo após um numero excessivo de acesso sem exito, alguém tentando acesso por brute force poe exemplo?
Desde ja agradeço a atenção.
sim,
o snort + guardian faz isso
Instalei os 2, devo fazer alguma config especifica p/ o controlar os acessos SSH? Pois o Snort nem loga esses acessos... :?Postado originalmente por 1c3_m4n
limit (e algumas variações) do iptables talvez atenda.
O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.Postado originalmente por 1c3_m4n
Desde Já agraceço a atenção.
Eu tentei sem sucesso, mais confesso que devo pesquisar mais a respeito do limit, essa regra pode resolver meu problema c/ as tentativas excessivas? E preciso gerar um script p/ fazer esse controle ou algumas linhas ja resolvem meu problema?Postado originalmente por gmlinux
com o limit vc consegue evitar um "flood" no teu server, mas o cara ainda vai ficar "batendo" na porta, se vc quer bloquear esse tipo de coisa, e automaticamente vai ter que ser com o snort+guardian mesmo
Mas veja bem a configuração do guardian, pq ele eh meio "burrao" pode bloquear coisa que nao devia
o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.Postado originalmente por EduLucas
http://www.snort.org/pub-bin/sigs-se...id=brute+force
Fugindo um pouco da abrangencia desse forum, porem não do assunto, vi no arquivo guardian_block.sh a seguinte regra de iptables /sbin/iptables -I INPUT -s $source -i $interface -j DROP, não sei se minha notação esta correta, mais quando ouver um ataque o guardian vai bloquear qualquer input a partir do momento q o snort logar algum ataque, isso quer dizer q se eu fazer um teste c/ meu servidor de rede, o servidor esta c/ o snort+guardian instalado e configurados; A partir do momento q eu execultar um portscanner nesse servidor q esta c/ a guardian, partindo de outra terminal da rede, esse terminal não terá qquer acesso ao meu servidor, nem ao menos vai conseguir pingar ele?Postado originalmente por 1c3_m4n
Desde ja agradeço a atenção.
eh o guardian vai bloquear sim, por isso falei q ele eh meio burrao, vc precisa definir na conf dele os ips que devem ser ignorados, e tb ajustar o snort pra num ficar logando qq coisa se nao vc vai ficar louco