Re: [FUG-BR] Acabando com ataques de Brute Force
Quoting Tiago Cruz <[EMAIL PROTECTED]>: > On Wed, 2005-10-26 at 16:12 -0200, Douglas Santos wrote: > >> As solucoes mencionadas anteriormente nao sao muito interessantes. >> Permitir uma aplicacao web modificar o firewall, port knocking, no-ip. > > Saiu um link legal sobre o assunto no CERT:; > http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/ > > >> telnet freebsd.org 22 >> (deve responder a maioria das perguntas) > > Na verdade eu não entendi o que você você quis dizer... :/ Quer dizer que se as recomendacoes do CERT fossem boas todo mundo iria usar. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
On Wed, 2005-10-26 at 16:12 -0200, Douglas Santos wrote: > As solucoes mencionadas anteriormente nao sao muito interessantes. > Permitir uma aplicacao web modificar o firewall, port knocking, no-ip. Saiu um link legal sobre o assunto no CERT:; http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/ > telnet freebsd.org 22 > (deve responder a maioria das perguntas) Na verdade eu não entendi o que você você quis dizer... :/ -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Quoting Tiago Cruz <[EMAIL PROTECTED]>: > On Wed, 2005-10-26 at 07:08 -0300, João Paulo Just wrote: > >> Isso é muito chato mesmo. A única coisa que faço atualmente é liberar >> SSH apenas pro meu usuário, mas já vi um script em Perl que fica >> verificando as conexões e bloqueia quando o usuário erra 3 vezes, só não >> tô mais achando esse negócio... > > Ah sim, tem diversos scripts deste por ae... só que achei legal a > solução mais elegante do PF com as tabelas, mais limpo mesmo... e queria > saber como vocês lidam com isso. > > Eu atualmente filtro os IPs permitidos no firewall, o que resolve o > problema, mas não adiantaria se tivéssemos técnicos em campo sempre em > locais e IPs dinâmicos. > > Da minha casa, por exemplo, eu uso o no-ip e meu script fica de 10 em 10 > minutos resolvendo meu hostname e colocando meu IP colo liberado no > firewall :) > > -- > Tiago Cruz > http://linuxrapido.org > Linux User #282636 > > "The box said: Requires MS Windows or better, so I installed Linux" As solucoes mencionadas anteriormente nao sao muito interessantes. Permitir uma aplicacao web modificar o firewall, port knocking, no-ip. telnet freebsd.org 22 (deve responder a maioria das perguntas) Se mesmo assim voce esta preocupado com os script kiddies, a maioria dos exploits usados pelos mesmos fazem uso da libssh. Entao seria justo: cd /usr/src/usr.bin/ssh/ && grep SSH_BUG_PROBE Agora basta adicionar uma nova entrada "libssl*" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
> Não liga não, o Djony é muito modesno... :-P Ops, era pra ser "modesto": s/modesno/modesto/g > http://freepfw.sourceforge.net []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
On Wed, 2005-10-26 at 12:01 +, Djony Weverton M Tambosi wrote: > Usa uma ferramenta para abrir a porta remotamente, > tipo o FreePFW. Uso isso quase que diariamente. Poxa cara, eu vi a ferramenta e achei muito bacana! Pena que eu uso o PF aqui, mas mesmo assim é uma coisa que eu não havia pensado em fazer, valeu! > Nao mandei um email especifico para isso. > Apenas aproveitei a mensagem para expressar a minha simpatia > pela moderacao desta lista. Menos mensagens e mais qualidade Opa, aqui cabe uma explicação de minha parte. Relendo o e-mail, parece que eu estava reclamando da _sua_ mensagem enviada para a lista. Não não não cara, pelo amor de Deus, quem sou eu para falar isso dos outros? Estava me referindo a mensagem que o mailman envia para a gente: "Your message to Freebsd awaits moderator approval" ;) Abraços -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Tiago Cruz wrote: > > Da minha casa, por exemplo, eu uso o no-ip e meu script fica de 10 em 10 > minutos resolvendo meu hostname e colocando meu IP colo liberado no > firewall :) > Neste seu caso, o uso de ferramentas como mencionei no email anterior fica mais pratico. Ouvi falar de outra que escuta em algumas portas e se voce mandar pacotes para as portas certas na ordem certa, desbloqueia a porta que voce quer usar. []'s Djony ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Tiago Cruz wrote: > On Wed, 2005-10-26 at 07:23 +, Djony Weverton M Tambosi wrote: > > >> Porque simplesmente nao deixa a porta fechada no firewall >> e abre apenas quando for usar? > > > E se você não estiver na empresa, tiver um imprevisto e precisar acessar > o servidor? Vai pedir para a secretária entrar como root em uma tela > preta e digitar comandos obscuros? :) Eu ja fiz isso e não é muito > legal, dependendo da secretária... hehehehe Usa uma ferramenta para abrir a porta remotamente, tipo o FreePFW. Uso isso quase que diariamente. >> Sinceramente nao sei como voces conseguem conviver com estes >> servicos "privados" com as portas escancaradas. > > > Necessidade de atendimento remoto. Ha técnicos que trabalham em campo, e > precisam acessar "a qualquer hora, de qualquer lugar" ;) Por isso mesmo o uso de alguma ferramenta como mencionei acima. ;-) >>ps.: A lista ficou muito melhor moderada. Da ate' pra ler as mensagens. > > > Concordo, mas acho que não precisa ficar mandando e-mails para a gente > lembrando que é uma lista moderada e talz... Nao mandei um email especifico para isso. Apenas aproveitei a mensagem para expressar a minha simpatia pela moderacao desta lista. Menos mensagens e mais qualidade. Mas cada um e' livre para ter opinioes diferentes :-) Abracos, Djony ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Tiago, > E se você não estiver na empresa, tiver um imprevisto e precisar acessar > o servidor? Vai pedir para a secretária entrar como root em uma tela > preta e digitar comandos obscuros? :) Eu ja fiz isso e não é muito > legal, dependendo da secretária... hehehehe Não liga não, o Djony é muito modesno... :-P http://freepfw.sourceforge.net []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Marcelo Lima wrote: >http://www.portknocking.org/ > >muito interessante isso, nao conheco ninguem que esta usando, mas a >ideia eh muito legal, tecnica batendo na porta, funciona assim, tu >precisa liberar a 22, blz, eh tudo bloqueado, ae tu tenta conectar em >algumas portas estabelecidas, 94, 6513, 5437, 5374, 4863 num intervalo X >de tempo (as portas sao definidas na configuracao do portknocking), se >voce fizer a seguencia certa, ele libera a 22 pro ip q fez a seguencia. > >o problema eh q o host tem q ta rodando ipchains ou iptables :( > >- -- >Marcelo Lima > > A melhor implementação é o DoorMan [ http://doorman.sourceforge.net ], o port é o security/doorman [ http://www.freshports.org/security/doorman/ ]. Funciona com PF ou IPFW. Att., Rainer Alves BrasilTelecom ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 http://www.portknocking.org/ muito interessante isso, nao conheco ninguem que esta usando, mas a ideia eh muito legal, tecnica batendo na porta, funciona assim, tu precisa liberar a 22, blz, eh tudo bloqueado, ae tu tenta conectar em algumas portas estabelecidas, 94, 6513, 5437, 5374, 4863 num intervalo X de tempo (as portas sao definidas na configuracao do portknocking), se voce fizer a seguencia certa, ele libera a 22 pro ip q fez a seguencia. o problema eh q o host tem q ta rodando ipchains ou iptables :( - -- Marcelo Lima Administrador de redes / Departamento de Redes e Tecnologia Email: [EMAIL PROTECTED] Fone: 31770700 r313 Nextel: 55*5*7857 ICQ: 235332632 - - Catho Online: O seu sucesso é o nosso negocio! http://www.catho.com.br Tiago Cruz wrote: > On Wed, 2005-10-26 at 07:23 +, Djony Weverton M Tambosi wrote: > > >> Porque simplesmente nao deixa a porta fechada no firewall >> e abre apenas quando for usar? > > > E se você não estiver na empresa, tiver um imprevisto e precisar acessar > o servidor? Vai pedir para a secretária entrar como root em uma tela > preta e digitar comandos obscuros? :) Eu ja fiz isso e não é muito > legal, dependendo da secretária... hehehehe > > > >> Sinceramente nao sei como voces conseguem conviver com estes >> servicos "privados" com as portas escancaradas. > > > Necessidade de atendimento remoto. Ha técnicos que trabalham em campo, e > precisam acessar "a qualquer hora, de qualquer lugar" ;) > > > >>ps.: A lista ficou muito melhor moderada. Da ate' pra ler as mensagens. > > > Concordo, mas acho que não precisa ficar mandando e-mails para a gente > lembrando que é uma lista moderada e talz... > -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (FreeBSD) iD8DBQFDX4IiUTDcFF4aUYMRAi+PAKDOidTLxN9tTANUN/V1kwR0D5B+QQCfb0qE gH6jlSWnvRo2svA6SnGED8A= =eQG3 -END PGP SIGNATURE- ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
On Wed, 2005-10-26 at 07:08 -0300, João Paulo Just wrote: > Isso é muito chato mesmo. A única coisa que faço atualmente é liberar > SSH apenas pro meu usuário, mas já vi um script em Perl que fica > verificando as conexões e bloqueia quando o usuário erra 3 vezes, só não > tô mais achando esse negócio... Ah sim, tem diversos scripts deste por ae... só que achei legal a solução mais elegante do PF com as tabelas, mais limpo mesmo... e queria saber como vocês lidam com isso. Eu atualmente filtro os IPs permitidos no firewall, o que resolve o problema, mas não adiantaria se tivéssemos técnicos em campo sempre em locais e IPs dinâmicos. Da minha casa, por exemplo, eu uso o no-ip e meu script fica de 10 em 10 minutos resolvendo meu hostname e colocando meu IP colo liberado no firewall :) -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
On Wed, 2005-10-26 at 07:23 +, Djony Weverton M Tambosi wrote: > Porque simplesmente nao deixa a porta fechada no firewall > e abre apenas quando for usar? E se você não estiver na empresa, tiver um imprevisto e precisar acessar o servidor? Vai pedir para a secretária entrar como root em uma tela preta e digitar comandos obscuros? :) Eu ja fiz isso e não é muito legal, dependendo da secretária... hehehehe > Sinceramente nao sei como voces conseguem conviver com estes > servicos "privados" com as portas escancaradas. Necessidade de atendimento remoto. Ha técnicos que trabalham em campo, e precisam acessar "a qualquer hora, de qualquer lugar" ;) > ps.: A lista ficou muito melhor moderada. Da ate' pra ler as mensagens. Concordo, mas acho que não precisa ficar mandando e-mails para a gente lembrando que é uma lista moderada e talz... -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
On Tue, 2005-10-25 at 21:41 -0300, Celso Viana wrote: > Tiago, > > Sabe se na versão 6.0 do FreeBSD vão atualizar o PF? Pelo o que eu li sim, esse recurso já deve estar disponível no atual beta ;) -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Isso é muito chato mesmo. A única coisa que faço atualmente é liberar SSH apenas pro meu usuário, mas já vi um script em Perl que fica verificando as conexões e bloqueia quando o usuário erra 3 vezes, só não tô mais achando esse negócio... - -- João Paulo Just Peixoto Justsoft Informática e Publicidade Ltda. http://www.justsoft.com.br/ - -- Linux User #329704 http://counter.li.org/ - -- Graduando em Ciência da Computação Universidade Estadual de Santa Cruz, BA - -- Ilhéus, BA, Brasil +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDX1WXXL+vuN2d7ZwRAiCoAKC3v4Ztkex1c8YtDeFP3WuI0eiOEwCfUbRb t5ouvZnx01NVrRizOyZNnVs= =SmEQ -END PGP SIGNATURE- ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Tiago Cruz wrote: > Olá pessoal! > > Estava lendo um documento [1] falando sobre o PF, e vi uma regra > ninja-samurai que acaba com as merdas de ataques de brute force na porta > 22 (por exemplo): Porque simplesmente nao deixa a porta fechada no firewall e abre apenas quando for usar? Sinceramente nao sei como voces conseguem conviver com estes servicos "privados" com as portas escancaradas. []'s Djony ps.: A lista ficou muito melhor moderada. Da ate' pra ler as mensagens. Vou tentar ser mais assiduo nas respostas agora. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Acabando com ataques de Brute Force
Tiago, Sabe se na versão 6.0 do FreeBSD vão atualizar o PF? Celso Em 25/10/05, Tiago Cruz<[EMAIL PROTECTED]> escreveu: > Olá pessoal! > > Estava lendo um documento [1] falando sobre o PF, e vi uma regra > ninja-samurai que acaba com as merdas de ataques de brute force na porta > 22 (por exemplo): > > table persist > block quick from > pass inet proto tcp from any to $int_if:network port $tcp_services \ > flags S/SA keep state \ >(max-src-conn 100, max-src-conn-rate 15/5, \ > overload flush global) > > Muito louco né? Mas essa funcionalidade é o OpenBSD 3.7... e o PF do > FreeBSD 5.4 é baseado no PF do OpenBSD 3.5 (parece que é isso)... poxa, > uma pena mesmo, fiquei doido para implementar isso... > > Bom, mas escrevo para a lista para compartilhar de minha frustação e > também para perguntar como vocês resolvem esse problema no PF/ IPFW > atualmente... > > Valeu! > > > 1] http://www.bgnett.no/~peter/pf/AUUG2005/bruteforce.html > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Celso Vianna BSD User: 51318 Palmas/TO ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br