Bloquear tentativas excessiva.

[EduLucas]

É possivel elaborar algum script q bloqueie um determinado IP por um determinado tempo após um numero excessivo de acesso sem exito, alguém tentando acesso por brute force poe exemplo?

Desde ja agradeço a atenção.

[1c3m4n]

sim,
o snort + guardian faz isso

[EduLucas]

sim,
o snort + guardian faz isso

Instalei os 2, devo fazer alguma config especifica p/ o controlar os acessos SSH? Pois o Snort nem loga esses acessos... :?

[1c3m4n]

https://under-linux.org/noticia4390.html

[gmlinux]

limit (e algumas variações) do iptables talvez atenda.

[EduLucas]

https://under-linux.org/noticia4390.html

O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.

Desde Já agraceço a atenção.

[EduLucas]

limit (e algumas variações) do iptables talvez atenda.

Eu tentei sem sucesso, mais confesso que devo pesquisar mais a respeito do limit, essa regra pode resolver meu problema c/ as tentativas excessivas? E preciso gerar um script p/ fazer esse controle ou algumas linhas ja resolvem meu problema?

[1c3m4n]

com o limit vc consegue evitar um "flood" no teu server, mas o cara ainda vai ficar "batendo" na porta, se vc quer bloquear esse tipo de coisa, e automaticamente vai ter que ser com o snort+guardian mesmo
Mas veja bem a configuração do guardian, pq ele eh meio "burrao" pode bloquear coisa que nao devia

[1c3m4n]

https://under-linux.org/noticia4390.html

O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.

Desde Já agraceço a atenção.

o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.

http://www.snort.org/pub-bin/sigs-se...id=brute+force

[EduLucas]

o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.

http://www.snort.org/pub-bin/sigs-se...id=brute+force

Fugindo um pouco da abrangencia desse forum, porem não do assunto, vi no arquivo guardian_block.sh a seguinte regra de iptables /sbin/iptables -I INPUT -s $source -i $interface -j DROP, não sei se minha notação esta correta, mais quando ouver um ataque o guardian vai bloquear qualquer input a partir do momento q o snort logar algum ataque, isso quer dizer q se eu fazer um teste c/ meu servidor de rede, o servidor esta c/ o snort+guardian instalado e configurados; A partir do momento q eu execultar um portscanner nesse servidor q esta c/ a guardian, partindo de outra terminal da rede, esse terminal não terá qquer acesso ao meu servidor, nem ao menos vai conseguir pingar ele?

Desde ja agradeço a atenção.

[1c3m4n]

eh o guardian vai bloquear sim, por isso falei q ele eh meio burrao, vc precisa definir na conf dele os ips que devem ser ignorados, e tb ajustar o snort pra num ficar logando qq coisa se nao vc vai ficar louco