+ Responder ao Tópico



  1. #1

    Padrão Bloquear tentativas excessiva.

    É possivel elaborar algum script q bloqueie um determinado IP por um determinado tempo após um numero excessivo de acesso sem exito, alguém tentando acesso por brute force poe exemplo?

    Desde ja agradeço a atenção.

  2. #2

    Padrão Bloquear tentativas excessiva.

    sim,
    o snort + guardian faz isso



  3. #3

    Padrão Bloquear tentativas excessiva.

    Citação Postado originalmente por 1c3_m4n
    sim,
    o snort + guardian faz isso
    Instalei os 2, devo fazer alguma config especifica p/ o controlar os acessos SSH? Pois o Snort nem loga esses acessos... :?

  4. #4



  5. #5
    gmlinux
    Visitante

    Padrão Bloquear tentativas excessiva.

    limit (e algumas variações) do iptables talvez atenda.

  6. #6

    Padrão Bloquear tentativas excessiva.

    Citação Postado originalmente por 1c3_m4n
    https://under-linux.org/noticia4390.html
    O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.

    Desde Já agraceço a atenção.



  7. #7

    Padrão Bloquear tentativas excessiva.

    Citação Postado originalmente por gmlinux
    limit (e algumas variações) do iptables talvez atenda.
    Eu tentei sem sucesso, mais confesso que devo pesquisar mais a respeito do limit, essa regra pode resolver meu problema c/ as tentativas excessivas? E preciso gerar um script p/ fazer esse controle ou algumas linhas ja resolvem meu problema?

  8. #8

    Padrão Bloquear tentativas excessiva.

    com o limit vc consegue evitar um "flood" no teu server, mas o cara ainda vai ficar "batendo" na porta, se vc quer bloquear esse tipo de coisa, e automaticamente vai ter que ser com o snort+guardian mesmo
    Mas veja bem a configuração do guardian, pq ele eh meio "burrao" pode bloquear coisa que nao devia



  9. #9

    Padrão Bloquear tentativas excessiva.

    Citação Postado originalmente por EduLucas
    Citação Postado originalmente por 1c3_m4n
    https://under-linux.org/noticia4390.html
    O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.

    Desde Já agraceço a atenção.
    o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.

    http://www.snort.org/pub-bin/sigs-se...id=brute+force

  10. #10

    Padrão Bloquear tentativas excessiva.

    Citação Postado originalmente por 1c3_m4n
    o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.

    http://www.snort.org/pub-bin/sigs-se...id=brute+force
    Fugindo um pouco da abrangencia desse forum, porem não do assunto, vi no arquivo guardian_block.sh a seguinte regra de iptables /sbin/iptables -I INPUT -s $source -i $interface -j DROP, não sei se minha notação esta correta, mais quando ouver um ataque o guardian vai bloquear qualquer input a partir do momento q o snort logar algum ataque, isso quer dizer q se eu fazer um teste c/ meu servidor de rede, o servidor esta c/ o snort+guardian instalado e configurados; A partir do momento q eu execultar um portscanner nesse servidor q esta c/ a guardian, partindo de outra terminal da rede, esse terminal não terá qquer acesso ao meu servidor, nem ao menos vai conseguir pingar ele?

    Desde ja agradeço a atenção.



  11. #11

    Padrão Bloquear tentativas excessiva.

    eh o guardian vai bloquear sim, por isso falei q ele eh meio burrao, vc precisa definir na conf dele os ips que devem ser ignorados, e tb ajustar o snort pra num ficar logando qq coisa se nao vc vai ficar louco