IP Blocken na 2x of 3x fout inloggen.

s_broekhoven schreef op 18 oktober 2004 @ 09:09:
Hallo mensen,

Ik krijg de laaste tijd heel veel meldingen dat mensen proberen in te loggen via SSH op mijn linux PC.

Is het mogelijk om met een script een IP automatich te blocken na 3x fout inloggen?

En als je zelf 3x fout inlogt omdat bijv. je capslock aanstond??
Misschien handiger om ip-adressen waarvandaan je zelf inlogt alleen toe te laten
_{In ieder geval root disablen lijkt me verstandig}

[ Voor 20% gewijzigd door blaataaps op 18-10-2004 10:20 . Reden: De exacte ip-adressen lijken me niet geheel relevant :) ]

BoAC schreef op 18 oktober 2004 @ 09:12:
[...]

En als je zelf 3x fout inlogt omdat bijv. je capslock aanstond??
Misschien handiger om ip-adressen waarvandaan je zelf inlogt alleen toe te laten

Ik vind het eigenlijk ook wel een interessante vraag (en helaas weet ik de oplossing ook niet).
Zelf log ik altijd vanaf thuis of m'n werk in via public/private key authentication, dus geen username/password. Een capslock die aan staat is dus geen probleem.

Bij voorkeur natuurlijk iets geavanceerds, een IP-nummer voor een uurtje blokken na 3 foute inlogpogingen of zo.

BoAC schreef op 18 oktober 2004 @ 09:12:
[...]

En als je zelf 3x fout inlogt omdat bijv. je capslock aanstond??
Misschien handiger om ip-adressen waarvandaan je zelf inlogt alleen toe te laten
_{In ieder geval root disablen lijkt me verstandig}

offtopic:
Zit je toevallig bij Planet?

Zie ze nu ook op mijn server: 66.78.26.22/211.197.237.148
En dan users als web/master/sybase/oracle/adam/alan enz
En dat gebeurd dan gewoon in seconden..

Daarbij is het helemaal niet erg dat mensen proberen in te loggen op je bak, mits je passworden gebruikt die sterk genoeg zijn.... Maar laat me eens raden: er worden m.n. veel pogingen tot root logins, test logins en (hmz, moment die moet ik ff opzoeken) en guest logins gedaan? Dat is gewoon een bekend probleem (Toename ssh login attempts e.a.) en is imho geen doen omdat af te gaan vangen met ipblocks In dat topic staan wel een paar dingen die je wel kan doen en de belangrijkste is: abuse@[providervaninlogger].[extentie] mailen en aangeven dat er weer een l0ser bezig is om te cracken.
Verder kan je natuurlijk wel met progjes gaan klooien, maar imho is dat gewoon te veel werk voor te weinig resultaat

[ Voor 27% gewijzigd door Zwerver op 18-10-2004 09:24 ]

Hey, thnx voor het idee. Daar heb ik zelf dus nooit aan gedacht om IP te gaan blokken na zoveel keer fout inloggen.

Ik ga namelijk ook een beetje met linux expirimenteren en ook met SSH en wil linux dan zo veilig mogelijk maken (gewoon om dingen te leren). Dat idee ga ik zeker gebruiken.

Zwerver schreef op 18 oktober 2004 @ 09:23:
[...]


Daarbij is het helemaal niet erg dat mensen proberen in te loggen op je bak, mits je passworden gebruikt die sterk genoeg zijn.... Maar laat me eens raden: er worden m.n. veel pogingen tot root logins, test logins en (hmz, moment die moet ik ff opzoeken) en guest logins gedaan? Dat is gewoon een bekend probleem (Toename ssh login attempts e.a.) en is imho geen doen omdat af te gaan vangen met ipblocks In dat topic staan wel een paar dingen die je wel kan doen en de belangrijkste is: abuse@[providervaninlogger].[extentie] mailen en aangeven dat er weer een l0ser bezig is om te cracken.
Verder kan je natuurlijk wel met progjes gaan klooien, maar imho is dat gewoon te veel werk voor te weinig resultaat

Hier ben ik het niet helemaal mee eens. Je kunt zo wel die attempts blokken. Dan weet je zeker dat ze er niet mee inkomen. Als je dat combineert met IPTABLES, dan kunnen ze via dat IP geen verbinding meer opzetten met je computer. Dus niet in SSH IP's gaan blokken, maar dat moet je dat echt via een firewall doen. Zo voorkom je ook een beetje bruteforce aanvallen enzo. Ze kunnen namelijk 3x proberen en dan is het over met de pret. Dus het heeft wel degelijk nut.

Je moet dat natuurlijk wel automatiseren. Dan is het ook niet zoveel werk meer. Alleen met het opzetten een beetje veel werk, maar voor veiligheid moet je wat over hebben.

[ Voor 72% gewijzigd door eghie op 18-10-2004 09:29 ]

Zwerver schreef op 18 oktober 2004 @ 09:23:
[...]
Daarbij is het helemaal niet erg dat mensen proberen in te loggen op je bak, mits je passworden gebruikt die sterk genoeg zijn.... Maar laat me eens raden: er worden m.n. veel pogingen tot root logins, test logins en (hmz, moment die moet ik ff opzoeken) en guest logins gedaan? Dat is gewoon een bekend probleem (Toename ssh login attempts e.a.) en is imho geen doen omdat af te gaan vangen met ipblocks In dat topic staan wel een paar dingen die je wel kan doen en de belangrijkste is: abuse@[providervaninlogger].[extentie] mailen en aangeven dat er weer een l0ser bezig is om te cracken.
Verder kan je natuurlijk wel met progjes gaan klooien, maar imho is dat gewoon te veel werk voor te weinig resultaat

I agree
Dus laat ik het zo en maak gewoon de wachtwoorden sterker zoals je al zegt.
Misschien ga ik nog een keer over op keys. Alleen is dat 'fysieke' authenticatie i.t.t. wachtwoorden, dus daar denk ik nog over na...

Zo lang je PermitRootLogin uit hebt staan in je sshd config hoef je in principe niet bang te zijn. Da's namelijk het enige account dat op elke unix doos bestaat en in kan loggen.

Ik ben het eens met de mensen boven mij die zeggen dat het niet zoveel uitmaakt, zolang je rootlogin maar uit hebt staan en zorgt dat je software up-to-date is. Maar als de TS echt die ip's wil blocken na x pogingen, zou hij eens moeten kijken naar Snort. Ik heb er zelf nooit mee gewerkt, maar die schijnt het te kunnen (en veeeel meer )

Zwerver schreef op 18 oktober 2004 @ 09:23:
In dat topic staan wel een paar dingen die je wel kan doen en de belangrijkste is: abuse@[providervaninlogger].[extentie] mailen en aangeven dat er weer een l0ser bezig is om te cracken.

Abuse naar landen zoals China / Korea / Japan / Brazilie / Polen / Hongkong ? Spaar je de moeite, je als de mail aan aankomt krijg je geen reactie, en gebeurd d'r ook niks. Dat soort landen zal het worst wezen dat hun PC misbruikt worden, of dat d'r wat wannabee scriptkiddies rondlopen.

De oplossing ? Gewoon geheel APNIC in iptables gooien met een drop, uiterst efficient.

eghie schreef op 18 oktober 2004 @ 09:24:
Hey, thnx voor het idee. Daar heb ik zelf dus nooit aan gedacht om IP te gaan blokken na zoveel keer fout inloggen.

Ik ga namelijk ook een beetje met linux expirimenteren en ook met SSH en wil linux dan zo veilig mogelijk maken (gewoon om dingen te leren). Dat idee ga ik zeker gebruiken.

[...]

Hier ben ik het niet helemaal mee eens. Je kunt zo wel die attempts blokken. Dan weet je zeker dat ze er niet mee inkomen. Als je dat combineert met IPTABLES, dan kunnen ze via dat IP geen verbinding meer opzetten met je computer. Dus niet in SSH IP's gaan blokken, maar dat moet je dat echt via een firewall doen. Zo voorkom je ook een beetje bruteforce aanvallen enzo. Ze kunnen namelijk 3x proberen en dan is het over met de pret. Dus het heeft wel degelijk nut.

Je moet dat natuurlijk wel automatiseren. Dan is het ook niet zoveel werk meer. Alleen met het opzetten een beetje veel werk, maar voor veiligheid moet je wat over hebben.

Het blokken van ip's valt imho onder Security Through Obscurity, overigens is het gelinkte stukje niet exact wat hier op van toepassing is, maar het blijft een leuk stukje om te lezen vandaar de link. Je lost het probleem er niet mee op en je gaat mensen die misschien een virus hebben of op een andere manier misbruikt worden de mogelijkheid ontzien om je server te bereiken.

Even iets verder doorgevoerd: ik beheer een X aantal websites op een colo server, daar komen dit soort loginpogingen ook voor. Als ik nu elke poging voor 3 uur in de blocklist zet, denk je dan dat mijn klanten erg blij worden? Daarnaast ondervang je IP spoofing niet met deze oplossing en mensen die dit doen om echt je systeem te cracken gebruiken echt hun eigen systeem niet.

Wat is dan wel de oplossing? Of met keys werken (is al verteld door anderen in deze draad) en als je toch met logins moet werken zorgen dat je password door cracklib als sterk genoeg worden gezien.

[ Voor 4% gewijzigd door Zwerver op 18-10-2004 11:47 ]

Zwerver schreef op 18 oktober 2004 @ 11:41:
Daarnaast ondervang je IP spoofing niet met deze oplossing en mensen die dit doen om echt je systeem te cracken gebruiken echt hun eigen systeem niet.

Met een gespoofd IP kun je geen TCP sessies opzetten, dus wat dat betreft zie ik geen problemen.

Wat is dan wel de oplossing? Of met keys werken (is al verteld door anderen in deze draad) en als je toch met logins moet werken zorgen dat je password door cracklib als sterk genoeg worden gezien.

90% van de betreffende pogingen komen vanuit de apnic regio, en voor 99% van de mensen zal gelden dat d'r geen reden is om uberhaupt SSH connecties van die regio te accepten. Gewoon dichtzetten dus.

Zwerver schreef op 18 oktober 2004 @ 11:41:
[...]


...

Even iets verder doorgevoerd: ik beheer een X aantal websites op een colo server, daar komen dit soort loginpogingen ook voor. Als ik nu elke poging voor 3 uur in de blocklist zet, denk je dan dat mijn klanten erg blij worden? Daarnaast ondervang je IP spoofing niet met deze oplossing en mensen die dit doen om echt je systeem te cracken gebruiken echt hun eigen systeem niet.

...

Jij beheert ze op een public server voor klanten, dat is wat anders dan bijv een eigen computer of eventueel een private server die beheert word met SSH. Ik denk dat bij de TS niet nodig is dat "klanten" of zowieso al andere personen toegang hebben tot zijn SSH. Dus hij zelf kan er eigenlijk alleen maar last van hebben, maar als hij z'n wachtwoord gewoon weet is en goed intypt dan is er niks aan de hand + dat de beveiliging wel beter is.

Anders blokkeer je die IP's toch gewoon op bepaalde poorten en voor maar een uurtje ofzo. Je hoeft natuurlijk hem niet volledig te blokkeren. Bruteforce aanvallen kun je hier ook best wel fijn mee blokkeren. Wel zorgen dat je op die IP's ook niet meer gaat reageren, zodat hun denken je helemaal niet meer verbonden bent. Weet je hoe erg irri dat is voor een "cracker"/"hacker"/"ander vaag figuur dat geilt op slechte beveiliging". Dus je hebt dan zowieso al niet meer zoveel last van bruteforce.

igmar schreef op 18 oktober 2004 @ 15:28:
[...]


Met een gespoofd IP kun je geen TCP sessies opzetten, dus wat dat betreft zie ik geen problemen.

Nee dat kan idd niet, dus die kunnen dat zowieso al niet. Spoofed IP's kunnen alleen iets versturen, dus sessies zitten er niet in.

Dus na mijn idee is dit een zeer goede oplossing.

Je zou ipv na 3 keer ook pas na 25 keer ofzo kunnen blocken, omdat de kans dan nog steeds erg klein is dat met een brute-force techniek ingelogd kan worden. Tevens maak je het voor de legale gebruikers een stuk gemakkelijker om af en toe een typfout te maken zonder dat je ip geblokkeerd wordt..

Je zou je debugging output kunnen parsen en daar een script aan kunnen hangen..
dan kan je zelf firewall rules bouwen... en via de cron na een bepaalde tijd die rules weer verwijderen.. eens per 2 uur ofzo..

possamai schreef op 19 oktober 2004 @ 12:21:
Je zou je debugging output kunnen parsen en daar een script aan kunnen hangen..
dan kan je zelf firewall rules bouwen... en via de cron na een bepaalde tijd die rules weer verwijderen.. eens per 2 uur ofzo..

Als ie wist hoe ie dat moest doen, dan stelde hij hier natuurlijk geen vraag

@TS
Op andere poort gooien is ook een optie. Meestal willen ze de "standaard" bakkies pakken waar het root password nog op test staat ofzo
Ik had voor de grap weleens mn win FTP server op poort 22 gegooid, allemaal unix namen login attempts op een win bak

Eehm, misschien lees ik er wel verschrikkelijk overheen hoor, maar is het niet gewoon véél makkelijker om poort 22 te blokkeren met een Firewall, en dan maar 1 of 2 IPs toegang te geven? Zo heb ik het in ieder geval. Mijn router is in de basis niet bereikbaar op poort 22.

Remote netwerk waar ik het meeste ben als ik weg ben heeft een continue IPSEC tunnel de router in.

Het static ADSL IP thuis heeft toegang tot het SSH poortje.

En als ik een keer ergens anders vandaan in wil/moet loggen? Elke fatsoenlijke internetprovider heeft wel een shellservertje ergens in een hoekje staan waar je op in mag loggen. Geef dát IP adres ook toegang tot poort 22, neem fatsoenlijke wachtwoorden, PermitRootLogin op no et voila, it works for me.