[gilug.org] Vetat de IP per atacs

Narcis Garcia - GiLUG informatica actiu net
2008-02-19 16:58:15 UTC 

Primer he optat pel Fail2Ban, ja que diu ser un filtre flexible que
s'adapta al número d'intents d'atac, i que "perdona" automàticament les
IP bloquejades després de cert temps.

He provat "fail2ban" en un Live-CD i he instal·lat "shorewall" tal i com
recomana. De configurar mínimament i iniciar ShoreWall me n'he sortit
(després d'una estona de repassar els fitxers de configuració i
'readme', i diversos intents).
El Fail2Ban ha estat més fàcil. He comprovat que funciona (bloqueja quan
truquen massa a la porta), i que desbloqueja passada una estona.

Però no sé com es controla el desbloqueig. No sé si el bloqueig és per
exemple de 30 minuts, i sempre serà de 30 minuts, o bé el temps de
bloqueig va creixent segons les vegades que una IP es porta malament.

He vist que té configurat en què consisteix cada bloqueig (iptables,
hosts.deny,..), però no sé com dir-li quan vull expressament un bloqueig
o un desbloqueig. Tampoc no trobo com saber o controlar els temps de
bloqueig.

Però pel moment sembla anar bé.

GRACIES!


El dt 19 de 02 del 2008 a les 12:13 +0100, en/na Leopold
Palomo-Avellaneda va escriure:
> A Dimarts 19 Febrer 2008, Narcis Garcia - GiLUG va escriure:
> > Ostres tu, només de posar un ordinador amb web i FTP a internet, que en
> > pocs dies ja és objecte de l'atac de desenes d'individus que es volen
> > colar al sistema.
> > Miro les bitàcoles d'autenticació, i veig centenars d'intents d'entrar
> > com a "root", "administrator", "maria", "backup", "games", etc. que se
> > succeeixen cada 3 o 4 segons.
> >
> > Una cosa que he començat a fer és afegir les adreces IP dels atacants al
> > fitxer /etc/hosts.deny i, tot i que em pensava que aquesta era una
> > llista per a denegar qualsevol accés a l'ordinador, resulta que només em
> > dóna resultat per a qui intenta entrar via SSH.
> >
> > Algú sap com impedir que des d'una adreça IP s'accedeixi a CAP port ni
> > servei de l'ordinador?
> 
> Jo tenia el mateix problema. Hi ha un script meravellós que té per nom 
> fail2ban. La descripció diu:
> 
> 
> Description: bans IPs that cause multiple authentication errors
>  Monitors log files (e.g. /var/log/auth.log,
>  /var/log/apache/access.log) and temporarily or persistently bans
>  failure-prone addresses by updating existing firewall rules. The
>  software was completely rewritten at version 0.7.0 and now allows
>  easy specification of different actions to be taken such as to ban an
>  IP using iptables or hostsdeny rules, or simply to send a
>  notification email. Currently, by default, supports ssh/apache/vsftpd
>  but configuration can be easily extended for monitoring any other ASCII
>  file. All filters and actions are given in the config files, thus
>  fail2ban can be adopted to be used with a variety of files and
>  firewalls.
> 
> 
> A mí m'ha ajudat molt.
> 
> Leo
> 
> _______________________________________________
> Llista del GiLUG
> 
> http://gilug.org/cgi-bin/mailman/listinfo/llista
> * Tots els missatges queden publicats a:
> http://gilug.org/pipermail/llista/

Més informació sobre la llista de correu gilug