Iptables anti brute force

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
slux
Linux 3.x
Linux 3.x
Messaggi: 789
Iscritto il: dom 20 mar 2005, 0:00
Nome Cognome: Andrea Amerini
Slackware: 14.1 x86
Kernel: 3.12.0-smp
Desktop: xfce 4.10
Località: Prato
Contatta:

Iptables anti brute force

Messaggio da slux »

Ciao ragazzi,
in azienda stiamo preparando il nuovo server web e vorremmo attivare anche un server ftp(lo so è molto rischioso) per permettere ai clienti di fare upload mediante autenticazione.
Gli utenti ftp sono virtuali e mappati ad un utente di sistema con bassissimi privilegi ,senza shell ed in chroot in una directory con l'unico permesso di caricare files,ma non quello di listare la directory.

Comunque sia,il server ftp funziona,l'unica cosa che vorrei implementare è una protezione con iptables per gli attacchi brute force.

Girando su Google ho travato varie guide e tutte suggeriscono più o meno il seguente approccio:

Codice: Seleziona tutto

iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --set --name FTP
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --rttl --name FTP --seconds 60 --hitcount 5 -j DROP
iptables -I INPUT -p tcp --dport 20 -m state --state NEW -m recent --set --name FTP
iptables -I INPUT -p tcp --dport 20 -m state --state NEW -m recent --update --rttl --name FTP --seconds 60 --hitcount 5 -j DROP
In pratica se lo stesso IP tenta 5 connessioni in un minuto questi viene droppato,e mi evito anche così un'attacco di tipo DOS.

Problema:
In modalità passiva ftp funziona,non mi funziona in modalità attiva(timeout).
Se creo due semplici regole di accept sulle porte 20 e 21 invece funziona anche la modalità attiva,quindi sono certo che il problema è in quei filtri anti brute force,ma non saprei dove metter mano.Non sono un'esperto di iptable.

La modalità attiva mi interessa perchè è facilmente utilizzabile da Esplora risorse di Windows e per i clienti meno esperti è veramente semplice da utilizzare.
Ovviamenti i moduli del kernel ip_conntrack e ip_conntrack_ftp sono caricati.
Il sistema operativo è una Centos 5.5 ,ma non credo che faccia molta differenza i questo caso.

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6574
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: Iptable anti brute force

Messaggio da targzeta »

Non rispondo alla tua domanda, ma se hai un server ssh attivo attento al bruteforce anche via ssh. Su di un server ho attualmente 107 ip in blacklist e ne entrano più o meno con la frequenza di uno al giorno. Non ho usato iptables però e quindi come ho già detto non so risponderti.

Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

Avatar utente
slux
Linux 3.x
Linux 3.x
Messaggi: 789
Iscritto il: dom 20 mar 2005, 0:00
Nome Cognome: Andrea Amerini
Slackware: 14.1 x86
Kernel: 3.12.0-smp
Desktop: xfce 4.10
Località: Prato
Contatta:

Re: Iptable anti brute force

Messaggio da slux »

Per ssh non ho problemi,spero.E' blindato sul nostro ip,tutti gli altri vengono scartati.

Avatar utente
twister
Staff
Staff
Messaggi: 1598
Iscritto il: mar 11 nov 2003, 0:00
Slackware: current
Località: Roma
Contatta:

Re: Iptable anti brute force

Messaggio da twister »

Guarda io per una situazione sulla quale non potevo poi metter troppo le mani ho risolto con fail2ban, alla fine fine non funziona per nulla male, certo affidarsi a tool automatici alle volte ha dei grossi svantagi, ma per situazioni particolari può valer la pena di provare

albatross
Linux 0.x
Linux 0.x
Messaggi: 97
Iscritto il: mar 21 ott 2003, 0:00
Contatta:

Re: Iptable anti brute force

Messaggio da albatross »

Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A

Bart
Staff
Staff
Messaggi: 4249
Iscritto il: lun 9 ago 2004, 0:00
Località: Rimini

Re: Iptable anti brute force

Messaggio da Bart »

twister ha scritto:Guarda io per una situazione sulla quale non potevo poi metter troppo le mani ho risolto con fail2ban, alla fine fine non funziona per nulla male, certo affidarsi a tool automatici alle volte ha dei grossi svantagi, ma per situazioni particolari può valer la pena di provare
fail2ban non è male, nasce proprio per questo tipo di problematiche. Io lo sto usando su un server casalingo e mi trovo bene.
albatross ha scritto:Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
C si becca una denuncia e smette di fare il poniez. :) Scherzi a parte, hai avuto esperienze su casi del genere?

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6574
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: Iptable anti brute force

Messaggio da targzeta »

albatross ha scritto:Attenzione che con questi script che bloccano le sorgenti ci si espone a degli attacchi DoS per sorgenti amiche. Mi spiego meglio:
1. A deve andare sul tuo server ftp B
2. C è un concorrente di A e vuole impedire l'accesso al server ftp B
3. fa un ip spoof e tenta di collegarsi ripetutamente al server ftp B tagliando così fuori il leggitimo A
Il quale A, essendo tuo amico, ti chiede spiegazioni e si risolve senza problemi. Non conosco il comportamento specifico di tutti gli script, comunque dovrebbe esserci sempre una whitelist.

Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

albatross
Linux 0.x
Linux 0.x
Messaggi: 97
Iscritto il: mar 21 ott 2003, 0:00
Contatta:

Re: Iptables anti brute force

Messaggio da albatross »

Il problema non è quello di beccarsi una denuncia... infati se le persone sono poche ci si può mettere d'accordo e creare una whitelist come dice spina (lasciando però la porta aperta ad altre persone attraverso IP spoofing). Il discorso si complica se le persone che devono accedere al server ftp aumentano ... Io andrei più su un server ftps (ovvero ftp su canale ssl). Devi infatti considerare che ftp non cifra i canali (di comunicazione e dati) e quindi chiunque sia in ascolto con uno sniffer sulla rete può venire in possesso delle credenziali di accesso. Con ftps potresti utilizzare i certificati da distribuire ai clienti che li userebbero per accedere al server...

Rispondi