subject:"Re\: \[Exim\-users\] bruteforce"

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Vasiliy P. Melnik

18 января 2016 г., 11:05 пользователь Max Kostikov 
написал:

> fail2ban через TCP-wrappers. Удобен тем, что позволяет на стадии
> соединения выдавать ответ с описанием ошибки.
>

Да, спасибо - это я в действительности видел, просто не вижу смысла
связывать две системы, дабы не отгрести проблем. А 4 коннекшина в час это
не проблема вообще, поэтому и реализовать хочется чисто механизмами экзима
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Vasiliy P. Melnik

в укрнете то понятно - там если бороться, то только и будешь заниматься
тем, что обрабатывать обращения в техподдержку.

У меня офисные сервера, количество юзеров минимально, а ящики у всех
преднастроенные и пароли многие юзеры даже не знают, так что если даже
кого-то забанит, то невелика беда, ибо в случае неправильного пароля юзер
все рано ко мне обратиться.



18 января 2016 г., 10:46 пользователь Vladimir Sharun <
vladimir.sha...@ukr.net> написал:

> Всем привет :)
>
> Давать ок на любые пароли. В случае несовпадения с паролем в базе по
> imap/pop3 - показывать один и тот же пустой ящик-болванку. Если отправляют
> почту (подбор по SMTP) - всю отправляемую почту дропать. Подстраиваться под
> такую схему по сравнению с перебором весьма непросто. Второй вариант -
> перевести клиентов на клиентские сертификаты. Это не так страшно, как
> звучит.
>
> Существенно - нельзя в файрвол ip - за ним могут быть большие NAT'ы
> например.
>
>
>
> поделитесь методом борьбы с вялотекущим подбором паролей? замечаю
> периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно
> - пару суток
>
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
>
>
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Victor Cheburkin

Hi!

> 18 янв. 2016 г., в 10:39, Vasiliy P. Melnik  написал(а):
> 
> Hi all
> 
> поделитесь методом борьбы с вялотекущим подбором паролей? замечаю 
> периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно - 
> пару суток

Не знаю на сколько актуально, но мне помогает банально запретить авторизацию не 
через ssl. Т.е. как-то так:

dovecot_plain:
  driver = dovecot
  public_name = PLAIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth2
  server_advertise_condition = ${if def:tls_in_cipher }

При этом у всех клиентов прописано ходить на 465й порт с ssl, но и на 25м, 
через starttls, тоже будет работать.
Еще можно через ratelimit попробовать. Если на линухе -- iptables с recent, но 
это только для ipv4.

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Vladimir Sharun

Всем привет :) 

Давать ок на любые пароли. В случае несовпадения с паролем в базе по imap/pop3 
- показывать один и тот же пустой ящик-болванку. Если отправляют почту (подбор 
по SMTP) - всю отправляемую почту дропать. Подстраиваться под такую схему по 
сравнению с перебором весьма непросто. Второй вариант - перевести клиентов на 
клиентские сертификаты. Это не так страшно, как звучит. 

Существенно - нельзя в файрвол ip - за ним могут быть большие NAT'ы например. 



поделитесь методом борьбы с вялотекущим подбором паролей? замечаю периодически 
попытку подбора паролей типа 5-10 попыток к в час, но настырно - пару суток 
 
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Max Kostikov

  fail2ban через TCP-wrappers. Удобен тем, что позволяет на стадии соединения выдавать ответ с описанием ошибки.Отправлено с моего смартфона BlackBerry 10 по сети TELE2От: Vasiliy P. MelnikОтправлено: понедельник, 18 января 2016 г., 10:42Кому: Exim MTA на русскомОтветить: Exim MTA на русскомТема: [Exim-users] bruteforceHi allподелитесь методом борьбы с вялотекущим подбором паролей? замечаю периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно - пару суток
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Vasiliy P. Melnik

та вроде ж простая задача, не хочется в схему включать iptables, dovecot
или еще когото.

Вот я как понимаю логику - посчитать количество ошибок за какой-то
определенный промежуток времени, если превышает - блокировать авторизацию,
ну то есть даже не отключать его - пусть себе дальше пытается подбирать
пароли, что чтобы эти пароли не проверялись даже на корректность. То есть
даже 3 неудачных попытки за час являются основания для блокирования


18 января 2016 г., 11:16 пользователь Victor Cheburkin 
написал:

> Hi!
>
> > 18 янв. 2016 г., в 10:39, Vasiliy P. Melnik 
> написал(а):
> >
> > Hi all
> >
> > поделитесь методом борьбы с вялотекущим подбором паролей? замечаю
> периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно
> - пару суток
>
> Не знаю на сколько актуально, но мне помогает банально запретить
> авторизацию не через ssl. Т.е. как-то так:
>
> dovecot_plain:
>   driver = dovecot
>   public_name = PLAIN
>   server_socket = /var/run/dovecot/auth-client
>   server_set_id = $auth2
>   server_advertise_condition = ${if def:tls_in_cipher }
>
> При этом у всех клиентов прописано ходить на 465й порт с ssl, но и на 25м,
> через starttls, тоже будет работать.
> Еще можно через ratelimit попробовать. Если на линухе -- iptables с
> recent, но это только для ipv4.
>
> --
> Victor Cheburkin
> VC319-RIPE, VC1-UANIC
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
>
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Victor Cheburkin

Hi!

> 18 янв. 2016 г., в 11:30, Vasiliy P. Melnik  написал(а):
> 
> та вроде ж простая задача, не хочется в схему включать iptables, dovecot или 
> еще когото.

dovecot ни при чем, нужно только "server_advertise_condition = ${if 
def:tls_in_cipher }"

> Вот я как понимаю логику - посчитать количество ошибок за какой-то 
> определенный промежуток времени, если превышает - блокировать авторизацию, ну 
> то есть даже не отключать его - пусть себе дальше пытается подбирать пароли, 
> что чтобы эти пароли не проверялись даже на корректность. То есть даже 3 
> неудачных попытки за час являются основания для блокирования 

Это как раз делает recent из iptables с поправкой на то, что считает не ошибки 
а вообще ;-)

> 18 января 2016 г., 11:16 пользователь Victor Cheburkin  > написал:
> Hi!
> 
> > 18 янв. 2016 г., в 10:39, Vasiliy P. Melnik  > > написал(а):
> >
> > Hi all
> >
> > поделитесь методом борьбы с вялотекущим подбором паролей? замечаю 
> > периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно 
> > - пару суток
> 
> Не знаю на сколько актуально, но мне помогает банально запретить авторизацию 
> не через ssl. Т.е. как-то так:
> 
> dovecot_plain:
>   driver = dovecot
>   public_name = PLAIN
>   server_socket = /var/run/dovecot/auth-client
>   server_set_id = $auth2
>   server_advertise_condition = ${if def:tls_in_cipher }
> 
> При этом у всех клиентов прописано ходить на 465й порт с ssl, но и на 25м, 
> через starttls, тоже будет работать.
> Еще можно через ratelimit попробовать. Если на линухе -- iptables с recent, 
> но это только для ipv4.
> 
> --
> Victor Cheburkin
> VC319-RIPE, VC1-UANIC
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users 
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Lena

> From: "Vasiliy P. Melnik"

> поделитесь методом борьбы с вялотекущим подбором паролей? замечаю
> периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно
> - пару суток

Увеличить временной период ratelimit-а в
acl_check_quit и acl_check_notquit в
https://github.com/Exim/exim/wiki/BlockCracking
(тут блокирование и исходящего спама, и подбра паролей).
Теперь этот код не реагирует на многократные попытки
с одним и тем же неверным паролем, только на попытки подбора
разными паролями.

При желании можно в файл blocked_IPs записывать не только
IP-адрес, но еще через пробел число дата-время (unix time)
и по cron-у скриптом удалять сильно старые строки.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

Re: [Exim-users] bruteforce

8 matches

Site Navigation

Mail list logo

Footer information