Yury Konovalov пишет:
Здравствуйте, как дистрибутивно блокировть какие-либо действия из вне?
Установил
snort-inline+flexresp - Snort с чтением трафика через IPTables и автоблокировкой
Добавил правило:
#Submitted by Matt Jonkman
alert tcp $EXTERNAL_NET any -> $HOME_NET 2222 (msg: "BLEEDING-EDGE Potential SSH
Scan"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src,
count 5, seconds 120; classtype: attempted-recon;
reference:url,en.wikipedia.org/wiki/Brute_force_attack
<http://en.wikipedia.org/wiki/Brute_force_attack>; sid: 2001219; rev:14;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan
OUTBOUND"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track
by_src, count 5, seconds 120; classtype: attempted-recon;
reference:url,en.wikipedia.org/wiki/Brute_force_attack
<http://en.wikipedia.org/wiki/Brute_force_attack>; sid: 2003068; rev:2;)
С другого адреса начинаю брутофорсить ssh, правило срабатывает:
[**] [1:2003068:2] BLEEDING-EDGE Potential SSH Scan OUTBOUND [**]
[Classification: Attempted Information Leak] [Priority: 2]
09/23-08:29:31.467122 82.219.201.133:41256 <http://82.219.201.133:41256> ->
82.219.201.130:2222 <http://82.219.201.130:2222>
TCP TTL:62 TOS:0x0 ID:14265 IpLen:20 DgmLen:52 DF
******S* Seq: 0xD0CF4A74 Ack: 0x0 Win: 0x16D0 TcpLen: 32
TCP Options (6) => MSS: 1460 NOP NOP SackOK NOP WS: 4
[Xref => http://en.wikipedia.org/wiki/Brute_force_attack]
Но не блокируется, как правильно сделать что-бы добавлялось правило
iptables для блокировки?
В бранче не нашел ничего вроде SnortSam, Guardian, Hogwash.
Одна из альтернатив - использовать модуль recent для iptables. См., к
примеру,
http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/
--
С уважением,
Шигапов Ринат
инженер-программист ООО "Невод"
тел. (342)2196960
JabberID: dxist эт ya.ru
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
