+ Responder ao Tópico



  1. 09-08-2007, 08:20 #1
    alanvictorjp
    alanvictorjp está desconectado
    Avatar de alanvictorjp
    Ingresso
    Mar 2007
    Posts
    760
    Posts de Blog
    1

    Padrão bruteforce no mk,,,

    oi gente,,
    fuçando na net, axei isso

    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=black_list action=drop \
    comment="drop ssh brute forcers" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list address-list=black_list address-list-timeout=1d \
    comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m \
    comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m \
    comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" \
    disabled=no


    alguem poderia,, da uma explicaçao por cima?
    oq se trata essas regras,,, pois nao entendi 100%,,
    vlw galera
    eh nois!
    Citação Citação
  2. 10-08-2007, 06:59 #2
    kiket
    kiket está desconectado
    Avatar de kiket
    Ingresso
    May 2007
    Posts
    18

    Padrão

    Hola Alanvictor,

    Te explico por encima las reglas indicadas, y disculpa por escribirte en español.


    Código :
    add chain=input protocol=tcp dst-port=22 src-address-list=black_list action=drop
    Esta primera regla DROP cualquier acceso TCP al puerto 22 y que su IP se encuentre en la lista BLACK_LIST

    Código :
    add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=black_list address-list-timeout=1d
    Esta segunda regla lo que hace es que cuando se establezca una conexion nueva al puerto 22 y la IP de origen se encuentra en "ssh_stage3"se añade la IP de origen a la lista "black_list"

    Código :
    add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m

    Esta tercera es igual a la regla anterior solo que pone una condición más, y es que añade a la lista ssh_stage2 si se encuentra previamente la IP en la lista ssh_stage3


    Código :
    add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m
    Esta cuarta hace lo mismo que la anterior pero pasa de la 2 a la 1


    Código :
    add chain=input protocol=tcp dst-port=22 connection-state=new \
action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m

    Y la ultima regla lo que hace es que cuando se establezca una conexion nueva al puerto 22 se añade la IP de origen a la lista "ssh_stage1"


    En resumen lo que realiza estas reglas es anañizar las conexiones SSH al equipo. Primero analiza la conexión nueva si se encuentra la IP en la lista BLACK_LIST la BLOQUEA, sino sigue con la regla siguiente, si se encuentra en la lista SSH_STAGE3 la añade a la lista BLACK_LIST , sino sigue y compara si esta en SSH_STAGE3 la añade a SSH_STAGE2 asi hasta que si no esta en la SSH_STAGE2 la añade a SSH_STAGE1. Con esto y mirando los tiempo de la lista = 1minuto obtenemos una forma de bloquear accesos no autorizados a nuestro equipo. En particular 3 accesos por minuto.

    Un saludo y espero que te haya sido de ayuda.

    Kike
    Citação Citação



« Tópico Anterior | Próximo Tópico »