Re: [ml] Fail2Ban

[m]

* Gelpi Andrea (li...@gelpi.it) [160914 13:20]:


Verissimo, come discorso generale. Usando VPN con certificato client 
noto che i tentativi si riducono ad uno ogni tanto. Probabilmente 
quando vedono che devono mandare un certificato per connettersi, 
lasciano perdere. Il secondo vantaggio della VPN secondo me è che la 
posso usare per qualsiasi altro servizio che voglio tenere protetto.
Fare le stesse cose solo con SSH è possibile, ma ottengo un ambiente 
più limitato. 



perché ? io lascio l'accesso solo con certificato, e ottengo proprio
quel risultato, senza dovere poi ricordarmi dove sono le porte di
accesso dei vari server

anzi: il mio consiglio è disabilitare l'accesso con password, e bona lè 


--
 .*.finelli
 /V\
(/ \) --
(   )   Linux: Friends dont let friends use Piccolosoffice
^^-^^ --

Bobby Fischer lived 64 years, one for each square on the chessboard.

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Fail2Ban

[Gelpi Andrea]

Il 14/09/2016 11:00, Michelangelo Bottura ha scritto:

Anche i servizi VPN sono soggetti allo stesso tipo di attacchi, se ascoltano su 
porte note (pptp tradizionale ad es).
aggiungere un servizio sulla stessa macchina per proteggerne un altro non 
diminuisce la superficie di attacco.


Verissimo, come discorso generale. Usando VPN con certificato client 
noto che i tentativi si riducono ad uno ogni tanto. Probabilmente quando 
vedono che devono mandare un certificato per connettersi, lasciano 
perdere. Il secondo vantaggio della VPN secondo me è che la posso usare 
per qualsiasi altro servizio che voglio tenere protetto.
Fare le stesse cose solo con SSH è possibile, ma ottengo un ambiente più 
limitato. Rimane verissimo il fatto che aggiungere una porta alta e 
filtrare da fuori la 22 riduce di molto i tentativi.



Usare porta alta toglie gli attacchi generici.
Il contesto è poi fondamentale per capire la situation: se si tratta di una 
macchina che usi per prove o comunque privata probabilmente stai subendo scan 
generici -> è sufficiente spostamento di porta e conf di fail2ban. Se invece 
sull'host hai servizi/dati potenzialmente interessanti che giustificano 
l'interesse eventuali intrusori passa senz'altro ad analisi forense e a metodi 
diversi di accesso remoto
My 2 c



Il giorno 12 set 2016, alle ore 08:53, Gelpi Andrea  ha scritto:

Il 11/09/2016 10:40, Marco Bettini ha scritto:

Buon giorno a tutti, ho un server che in questo periodo é fortemente
sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
scusate la stupida ripetizione ) ricevuti in un arco di 2min.

Dopo un po di giorni di scansioni perdo il controllo del server e devo
ricorrere al reset fisico.

Fino ad oggi ho sempre attribuito la perdita di controllo del server a
qualche processo in starvation che consumava tutte le risorse ma ora non
ne sono più molto sicuro.

Avete qualche idea su come poter scoprire se questo sia un attacco DOS
sul server invece che un semplice scan delle password?

Grazie e buona domenica a tutti

Marco Bettini

--
Google+: google.com/+MarcoBettini 
LinkedIn: http://www.linkedin.com/in/bettinim
--
Il contenuto di questa e-mail è strettamente personale ai sensi della
legge 196/03. Ogni abuso potrà essere perseguito legalmente.
--
Solo il 10% di UNIX e' in codice assembly il resto e' C!!
Only about 10 % of UNIX is assembly code the rest is C!!


Domanda.
Il servizio SSH lo usi solo tu o è a disposizione anche degli utenti?

Se lo usi solo tu, perchè non lo apri solo da IP noti della tua rete?
Io uso una VPN verso un mio FW e solo da lì posso fare ssh verso tutti gli alti 
sistemi. Non ho quindi SSH aperto verso l'esterno.

In ogni caso come ti hanno già consigliato aggiungi a SSH anche una porta alta 
e da fuori permetti solo accessi alla porta alta. I tentativi di violazione 
crolleranno.

--
Gelpi ing. Andrea
--
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--

http://www.sikurezza.org - Italian Security Mailing List



http://www.sikurezza.org - Italian Security Mailing List




--
Gelpi ing. Andrea
--
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Fail2Ban

[Michelangelo Bottura]

Anche i servizi VPN sono soggetti allo stesso tipo di attacchi, se ascoltano su 
porte note (pptp tradizionale ad es).
aggiungere un servizio sulla stessa macchina per proteggerne un altro non 
diminuisce la superficie di attacco.
Usare porta alta toglie gli attacchi generici. 
Il contesto è poi fondamentale per capire la situation: se si tratta di una 
macchina che usi per prove o comunque privata probabilmente stai subendo scan 
generici -> è sufficiente spostamento di porta e conf di fail2ban. Se invece 
sull'host hai servizi/dati potenzialmente interessanti che giustificano 
l'interesse eventuali intrusori passa senz'altro ad analisi forense e a metodi 
diversi di accesso remoto
My 2 c


> Il giorno 12 set 2016, alle ore 08:53, Gelpi Andrea  ha 
> scritto:
> 
> Il 11/09/2016 10:40, Marco Bettini ha scritto:
>> Buon giorno a tutti, ho un server che in questo periodo é fortemente
>> sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
>> scusate la stupida ripetizione ) ricevuti in un arco di 2min.
>> 
>> Dopo un po di giorni di scansioni perdo il controllo del server e devo
>> ricorrere al reset fisico.
>> 
>> Fino ad oggi ho sempre attribuito la perdita di controllo del server a
>> qualche processo in starvation che consumava tutte le risorse ma ora non
>> ne sono più molto sicuro.
>> 
>> Avete qualche idea su come poter scoprire se questo sia un attacco DOS
>> sul server invece che un semplice scan delle password?
>> 
>> Grazie e buona domenica a tutti
>> 
>> Marco Bettini
>> 
>> --
>> Google+: google.com/+MarcoBettini 
>> LinkedIn: http://www.linkedin.com/in/bettinim
>> --
>> Il contenuto di questa e-mail è strettamente personale ai sensi della
>> legge 196/03. Ogni abuso potrà essere perseguito legalmente.
>> --
>> Solo il 10% di UNIX e' in codice assembly il resto e' C!!
>> Only about 10 % of UNIX is assembly code the rest is C!!
> 
> Domanda.
> Il servizio SSH lo usi solo tu o è a disposizione anche degli utenti?
> 
> Se lo usi solo tu, perchè non lo apri solo da IP noti della tua rete?
> Io uso una VPN verso un mio FW e solo da lì posso fare ssh verso tutti gli 
> alti sistemi. Non ho quindi SSH aperto verso l'esterno.
> 
> In ogni caso come ti hanno già consigliato aggiungi a SSH anche una porta 
> alta e da fuori permetti solo accessi alla porta alta. I tentativi di 
> violazione crolleranno.
> 
> -- 
> Gelpi ing. Andrea
> --
> It took the computing power of three C-64s to fly to the Moon.
> It takes a 486 to run Windows 95. Something is wrong here.
> --
> 
> http://www.sikurezza.org - Italian Security Mailing List
> 

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Fail2Ban

[0dev]

typo: Evita di usare porte standard


On 13/09/2016 15:06, 0dev wrote:
>
> Ciao, utilizzando l'autenticazione con coppia di chiavi risolveresti
> totalmente il problema della gente che ti scanna ssh e soprattutto,
> evita di usare porte non standard. Inoltre se su fail2ban setti il
> bantime a -1 automaticamente l'ip verrà bannato permanentemente.
> Dai uno sguardo qui:
>
> https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/
>
>
> On 11/09/2016 10:40, Marco Bettini wrote:
>>
>> Buon giorno a tutti, ho un server che in questo periodo é fortemente
>> sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
>> scusate la stupida ripetizione ) ricevuti in un arco di 2min.
>>
>> Dopo un po di giorni di scansioni perdo il controllo del server e
>> devo ricorrere al reset fisico.
>>
>> Fino ad oggi ho sempre attribuito la perdita di controllo del server
>> a qualche processo in starvation che consumava tutte le risorse ma
>> ora non ne sono più molto sicuro.
>>
>> Avete qualche idea su come poter scoprire se questo sia un attacco
>> DOS sul server invece che un semplice scan delle password?
>>
>> Grazie e buona domenica a tutti
>>
>> Marco Bettini
>>
>> --
>> Google+: google.com/+MarcoBettini 
>> LinkedIn: http://www.linkedin.com/in/bettinim
>> --
>> Il contenuto di questa e-mail è strettamente personale ai sensi della
>> legge 196/03. Ogni abuso potrà essere perseguito legalmente.
>> --
>> Solo il 10% di UNIX e' in codice assembly il resto e' C!!
>> Only about 10 % of UNIX is assembly code the rest is C!!
>>
>>
>>
>
> -- 
> PGP key  

-- 
PGP key  

Re: [ml] Fail2Ban

[0dev]

Ciao, utilizzando l'autenticazione con coppia di chiavi risolveresti
totalmente il problema della gente che ti scanna ssh e soprattutto,
evita di usare porte non standard. Inoltre se su fail2ban setti il
bantime a -1 automaticamente l'ip verrà bannato permanentemente.
Dai uno sguardo qui:

https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/


On 11/09/2016 10:40, Marco Bettini wrote:
>
> Buon giorno a tutti, ho un server che in questo periodo é fortemente
> sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
> scusate la stupida ripetizione ) ricevuti in un arco di 2min.
>
> Dopo un po di giorni di scansioni perdo il controllo del server e devo
> ricorrere al reset fisico.
>
> Fino ad oggi ho sempre attribuito la perdita di controllo del server a
> qualche processo in starvation che consumava tutte le risorse ma ora
> non ne sono più molto sicuro.
>
> Avete qualche idea su come poter scoprire se questo sia un attacco DOS
> sul server invece che un semplice scan delle password?
>
> Grazie e buona domenica a tutti
>
> Marco Bettini
>
> --
> Google+: google.com/+MarcoBettini 
> LinkedIn: http://www.linkedin.com/in/bettinim
> --
> Il contenuto di questa e-mail è strettamente personale ai sensi della
> legge 196/03. Ogni abuso potrà essere perseguito legalmente.
> --
> Solo il 10% di UNIX e' in codice assembly il resto e' C!!
> Only about 10 % of UNIX is assembly code the rest is C!!
>
>
>

-- 
PGP key  

Re: [ml] Fail2Ban

[Jan Reister]

Il 11/09/2016 10:40, Marco Bettini ha scritto:
> Buon giorno a tutti, ho un server che in questo periodo é fortemente
> sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
> scusate la stupida ripetizione ) ricevuti in un arco di 2min.
> 
> Dopo un po di giorni di scansioni perdo il controllo del server e devo
> ricorrere al reset fisico.

Ciao, in /etc/fail2ban/jail.local abilita la sezione [recidive] e se
vuoi gioca coi valori bantime findtime e maxretry.

Dubito che su un server stabile i bruteforce ssh bastino a crearti
problemi, forse c'è qualche altro servizio difettoso o l'ambiente
virtualizzato. Configura il monitoraggio (con munin o altro) e osserva
cosa succede.

Jan





http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Fail2Ban

[Mirko ML]

On 12/09/2016 08:53, Gelpi Andrea wrote:
>>
> 
> Domanda.
> Il servizio SSH lo usi solo tu o è a disposizione anche degli utenti?
> 
> Se lo usi solo tu, perchè non lo apri solo da IP noti della tua rete?
Alternativa sarebbe bloccare classi note.
http://www.ipdeny.com/ipblocks/

-- 
Ciao
Mirko

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Fail2Ban

[Gelpi Andrea]

Il 11/09/2016 10:40, Marco Bettini ha scritto:

Buon giorno a tutti, ho un server che in questo periodo é fortemente
sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
scusate la stupida ripetizione ) ricevuti in un arco di 2min.

Dopo un po di giorni di scansioni perdo il controllo del server e devo
ricorrere al reset fisico.

Fino ad oggi ho sempre attribuito la perdita di controllo del server a
qualche processo in starvation che consumava tutte le risorse ma ora non
ne sono più molto sicuro.

Avete qualche idea su come poter scoprire se questo sia un attacco DOS
sul server invece che un semplice scan delle password?

Grazie e buona domenica a tutti

Marco Bettini

--
Google+: google.com/+MarcoBettini 
LinkedIn: http://www.linkedin.com/in/bettinim
--
Il contenuto di questa e-mail è strettamente personale ai sensi della
legge 196/03. Ogni abuso potrà essere perseguito legalmente.
--
Solo il 10% di UNIX e' in codice assembly il resto e' C!!
Only about 10 % of UNIX is assembly code the rest is C!!





Domanda.
Il servizio SSH lo usi solo tu o è a disposizione anche degli utenti?

Se lo usi solo tu, perchè non lo apri solo da IP noti della tua rete?
Io uso una VPN verso un mio FW e solo da lì posso fare ssh verso tutti 
gli alti sistemi. Non ho quindi SSH aperto verso l'esterno.


In ogni caso come ti hanno già consigliato aggiungi a SSH anche una 
porta alta e da fuori permetti solo accessi alla porta alta. I tentativi 
di violazione crolleranno.


--
Gelpi ing. Andrea
--
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Fail2Ban

[Baroni Fabio]

Beh, intanto assicurati nuovamente che non ci siano processi o servizi/daemon 
che non usano troppe risorse sia in termini di CPU che RAM e operazioni I/O, 
anche se probabilmente hai già dato un'occhiata . È già buono il fatto che stai 
usando fail2ban, se utilizzi la porta 22 per SSH è consigliabile usare un'altra 
porta, preferibilmente maggiore della porta 1024 perché le prime 1024 porte 
sono privileged ports e solitamente i servizi vengono eseguiti come root. 
Usando una porta diversa non eliminerai il rischio, però ridurrai il numero di 
attacchi che ricevi. Oltre ad usare fail2ban e cambiare la porta, potresti 
anche implementare un sistema di port knocking in modo da fornire un altro 
layer di sicurezza, seppur minimo. Invece di usare una password usa un 
certificato ed eventualmente implementa un sistema di 2FA. Se poi hai un server 
web ti consiglio di usare anche un WAF e servizi come Cloudflare o Incapsula. 
Ci sono bot che effettuano continuamente scansioni di tutta la rete internet e 
possono esserci dei picchi in alcuni momenti come quelli che hai registrato, 
tuttavia solitamente ciò non basta per creare un Denial Of Service e si tratta 
di attacchi casuali momentanei generalmente a meno che non si tratti di un 
targeted attack. Se noti cose strane può essere consigliabile anche dare 
un'occhiata agli IOC (indicators of compromise), in poco parole fare un minimo 
di analisi forense al fine di escludere che non si tratti di semplici attempted 
attacks, ma che qualcuno abbia realmente compromesso il sistema.

Fabio Baroni

Inviato da iPhone

> Il giorno 11 set 2016, alle ore 10:40, Marco Bettini 
>  ha scritto:
> 
> Buon giorno a tutti, ho un server che in questo periodo é fortemente sotto 
> attacco. Allego screenshot delle notifiche di ban di fail2ban ( scusate la 
> stupida ripetizione ) ricevuti in un arco di 2min.
> 
> Dopo un po di giorni di scansioni perdo il controllo del server e devo 
> ricorrere al reset fisico.
> 
> Fino ad oggi ho sempre attribuito la perdita di controllo del server a 
> qualche processo in starvation che consumava tutte le risorse ma ora non ne 
> sono più molto sicuro.
> 
> Avete qualche idea su come poter scoprire se questo sia un attacco DOS sul 
> server invece che un semplice scan delle password?
> 
> Grazie e buona domenica a tutti
> 
> Marco Bettini
> 
> --
> Google+: google.com/+MarcoBettini
> LinkedIn: http://www.linkedin.com/in/bettinim
> --
> Il contenuto di questa e-mail è strettamente personale ai sensi della legge 
> 196/03. Ogni abuso potrà essere perseguito legalmente.
> --
> Solo il 10% di UNIX e' in codice assembly il resto e' C!!
> Only about 10 % of UNIX is assembly code the rest is C!!
> 
>
> 
>