Ik krijg de laatste 3 dagen voortdurende (mislukte) inlog-pogingen vanaf multiple Chinese IP's op mijn dovecot imaps poort. Dit had ik wel eens een enkele keer, en ik maakte me er niet zoveel zorgen over.
Echter de laatste 3 dagen lig ik continu onder vuur. Fail2ban grijpt direct in na iedere mislukte poging. Staat streng afgesteld, omdat de mailaccounts toch zijn voorgeprogrammeerd op de devices die hier van buiten het netwerk mee verbinden (phones en tablets). Een mislukte handmatige poging komt daarom normaal gesproken niet voor. Dit was altijd afdoende. Echter met de "distributed attack" van de laatste dagen, ligt dat toch een beetje anders, vooral omdat er ook geprobeerd wordt in te loggen met een bestaande gebruikersnaam. (staat op lijst van de linkedin hack.)
stukje fail2ban van vandaag:
Ik denk er nu aan of ik op een of andere wijze de toegang tot deze poort vanuit heel China op voorhand kan blokkeren. Dan zou het op de firewall/router niveau moeten gebeuren, sowieso beter. Dit betreft een ER-lite.
Ik zou bijvoorbeeld een IP-list van NL IP's expliciet kunnen toestaan, en de rest blocken. Bijvoorbeeld met een lijst vanaf hier: http://www.ipdeny.com/ipblocks/
Maar deze lijst moet je wel up to date houden, en het nadeel is, dat je er niet meer bij kunt wanneer je zelf in het buitenland zit. (Krijgt je telefoon in het buitenland gewoon een KPN-ip op 4g, of een buitenlands ip, eigenlijk?).
Wat ook kan is specifiek China blocken, met een dergelijk IP block, en de rest van de planeet voorlopig open laten.
Waar ik dus benieuwd naar ben is of jullie op één of andere wijze, dergelijke maatregelen hebben getroffen op bv een edgerouter, en hoe je dat dan hebt ingericht.
Echter de laatste 3 dagen lig ik continu onder vuur. Fail2ban grijpt direct in na iedere mislukte poging. Staat streng afgesteld, omdat de mailaccounts toch zijn voorgeprogrammeerd op de devices die hier van buiten het netwerk mee verbinden (phones en tablets). Een mislukte handmatige poging komt daarom normaal gesproken niet voor. Dit was altijd afdoende. Echter met de "distributed attack" van de laatste dagen, ligt dat toch een beetje anders, vooral omdat er ook geprobeerd wordt in te loggen met een bestaande gebruikersnaam. (staat op lijst van de linkedin hack.)
stukje fail2ban van vandaag:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| 2018-04-05 00:57:36,446 fail2ban.filter [1938]: INFO [dovecot] Found 60.29.145.218 2018-04-05 00:57:36,689 fail2ban.actions [1938]: NOTICE [dovecot] Ban 60.29.145.218 2018-04-05 01:58:16,319 fail2ban.filter [1938]: INFO [dovecot] Found 111.50.29.167 2018-04-05 01:58:16,733 fail2ban.actions [1938]: NOTICE [dovecot] Ban 111.50.29.167 2018-04-05 04:49:58,755 fail2ban.filter [1938]: INFO [dovecot] Found 60.11.113.164 2018-04-05 04:49:59,000 fail2ban.actions [1938]: NOTICE [dovecot] Ban 60.11.113.164 2018-04-05 09:31:01,414 fail2ban.filter [1938]: INFO [dovecot] Found 58.211.64.222 2018-04-05 09:31:02,590 fail2ban.actions [1938]: NOTICE [dovecot] Ban 58.211.64.222 2018-04-05 10:55:29,973 fail2ban.filter [1938]: INFO [dovecot] Found 14.71.117.102 2018-04-05 10:55:30,627 fail2ban.actions [1938]: NOTICE [dovecot] Ban 14.71.117.102 2018-04-05 11:45:43,947 fail2ban.filter [1938]: INFO [dovecot] Found 175.225.41.60 2018-04-05 11:45:44,889 fail2ban.actions [1938]: NOTICE [dovecot] Ban 175.225.41.60 2018-04-05 12:21:07,681 fail2ban.filter [1938]: INFO [dovecot] Found 61.164.219.43 2018-04-05 12:21:08,450 fail2ban.actions [1938]: NOTICE [dovecot] Ban 61.164.219.43 2018-04-05 13:01:07,056 fail2ban.filter [1938]: INFO [dovecot] Found 125.67.235.220 2018-04-05 13:01:08,085 fail2ban.actions [1938]: NOTICE [dovecot] Ban 125.67.235.220 2018-04-05 13:42:08,034 fail2ban.filter [1938]: INFO [dovecot] Found 183.65.17.118 2018-04-05 13:42:08,689 fail2ban.actions [1938]: NOTICE [dovecot] Ban 183.65.17.118 |
Ik denk er nu aan of ik op een of andere wijze de toegang tot deze poort vanuit heel China op voorhand kan blokkeren. Dan zou het op de firewall/router niveau moeten gebeuren, sowieso beter. Dit betreft een ER-lite.
Ik zou bijvoorbeeld een IP-list van NL IP's expliciet kunnen toestaan, en de rest blocken. Bijvoorbeeld met een lijst vanaf hier: http://www.ipdeny.com/ipblocks/
Maar deze lijst moet je wel up to date houden, en het nadeel is, dat je er niet meer bij kunt wanneer je zelf in het buitenland zit. (Krijgt je telefoon in het buitenland gewoon een KPN-ip op 4g, of een buitenlands ip, eigenlijk?).
Wat ook kan is specifiek China blocken, met een dergelijk IP block, en de rest van de planeet voorlopig open laten.
Waar ik dus benieuwd naar ben is of jullie op één of andere wijze, dergelijke maatregelen hebben getroffen op bv een edgerouter, en hoe je dat dan hebt ingericht.
/u/57387/claimedavatar-70.png?f=community){kind=avatar}