Security Professionals - ipfw add deny all from eindgebruikers to any

Geo-ip + fail2ban

12-04-2011, 08:52 door Anoniem, 18 reacties
Ik wou met jullie een positieve ervaring delen.
Sinds een aantal maanden gebruiken we geoip + fail2ban om aanvallen op onze SSH services af te slaan.

We staan enkel IP adressen uit nederland toe.
Mijn ervaring van de afgelopen maand is dat we GEEN ENKELE bruteforce aanval meer ervaren op onze SSH services.

De eerste 2 maanden zijn onze SSH services nog 4 keer aangevallen ; allemaal vanaf een Leasweb ip.
Ik heb Leasweb hier een aantal keer over aangeschreven (zonder onze ip adressen te vermelden)

Nu ervaren we zelfs van Leasweb geen aanvallen meer :)

Houd Nederland schoon!


Greetingz,
Jacco
Reacties (18)
12-04-2011, 09:39 door Anoniem
Misschien ook handig om de volgende keer een handleiding te vermelden ;)
http://www.fail2ban.org/wiki/index.php/HOWTO_use_geoiplookup

Daar komt bij dat ik persoonlijk liever via Private key's werk. Wachtwoord voor SSH zijn zwaar achterhaald.
12-04-2011, 14:24 door boeFFeee
link werkt niet..? :)
12-04-2011, 15:36 door Anoniem
Wij van WC eend ..............
12-04-2011, 16:00 door ej__
Nooit gezeur mee: http://home.nuug.no/~peter/pf/en/bruteforce.html

Veel betere oplossing. Geen externe pakketten (met hun eigen kwetsbaarheden) nodig.

O, en het is zo handig dat je alleen ip adressen uit Nederland toe laat als je een keertje in het buitenland bent. Not. Maar daar kom je nog wel achter.
12-04-2011, 23:51 door Anoniem
@anoniem(9:39)
Ik vind zelf die Private keys niet handig om uit mijn hoofd te leren; zeker als het om meerder verschillende keys gaat.
Ik wil namelijk vanaf iedere computer in nederland toegang kunnen krijgen tot verschillende servers zonder dat ik een of ander private key bij me hoef te hebben.

Zeggen dat wachtwoorden achterhaald zijn lijkt me niet juist.
wat is er mis met mijn wachtwoord : ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%?toch
en waarom zou de private key oplossing beter zijn?

@ej : tegenwoordig worden grote botnets gebruikt om gedistribuweerde bruteforce aanvallen uit te voeren. deze hebben vaak erg veel ip adressen tot hun beschikking; blokkeren op basis van ip adres heeft dan ook niet zo veel zin.
Je zult iets beters moeten verzinnen; vandaar dat ik mijn ervaring deel van mijn poging om 't veiliger te maken.

wat betreft in het buitenland zijn; onze service afdeling in NL is 24/7 bereikbaar.
Mocht mijn hulp vanuit het buitenland nodig zijn dan kunnen ze me vast helpen aan een remote shell in de NL


greetingz,
Jacco
13-04-2011, 13:35 door ej__
Door Anoniem: @anoniem(9:39)
Ik vind zelf die Private keys niet handig om uit mijn hoofd te leren; zeker als het om meerder verschillende keys gaat.
Ik wil namelijk vanaf iedere computer in nederland toegang kunnen krijgen tot verschillende servers zonder dat ik een of ander private key bij me hoef te hebben.

Zeggen dat wachtwoorden achterhaald zijn lijkt me niet juist.
wat is er mis met mijn wachtwoord : ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%?toch
en waarom zou de private key oplossing beter zijn?

En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?

De private key oplossing is beter omdat heel clear password authentication (met eventuele theoretische flaws) is uitgeschakeld. Op de private key kan ook het wachtwoord ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%? worden gezet. Nog steeds ben je op een gecompromitteerd systeem dan nog steeds kwetsbaar.


@ej : tegenwoordig worden grote botnets gebruikt om gedistribuweerde bruteforce aanvallen uit te voeren. deze hebben vaak erg veel ip adressen tot hun beschikking; blokkeren op basis van ip adres heeft dan ook niet zo veel zin.
Je zult iets beters moeten verzinnen; vandaar dat ik mijn ervaring deel van mijn poging om 't veiliger te maken.

Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei.


wat betreft in het buitenland zijn; onze service afdeling in NL is 24/7 bereikbaar.
Mocht mijn hulp vanuit het buitenland nodig zijn dan kunnen ze me vast helpen aan een remote shell in de NL

greetingz,
Jacco

Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent.

Voor je begrip: ik heb geen last van aanvallen van wie dan ook. Diverse servers op diverse plaatsen hangen aan lijnen met grote bandbreedte.

Tenslotte: niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik.
13-04-2011, 14:40 door Anoniem
@ej:
"En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?"
ik acht mezelf in staat om redelijk te kunnen beoordelen of een pc gecompromitteerd of is voorzien van een keylogger

"Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent"
Normaal werk ik voor die service afdeling samen met nog 2 collegas.
Mijn werkgever staat het niet toe dat we allemaal gelijktijdig in het buitenland zijn.
waarom zou mijn verhaal niet consistent zijn?

"Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei."
Jij blokeerd een IP adres na 3 pogingen; botnets gebruiken steeds een ander ip adres vandaar dat het niet werkt.
of doet jou tool iets anders als een ip adres blokkeren? of weet je niet wat een distributed bruteforce aanval inhoud misschien?

"niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik."

heb hier geen ervaring mee; mocht ik hier tegen aan lopen dan zal ik het zeker hier posten

Greetingz,
Jacco
13-04-2011, 18:31 door Anoniem
hier staat wel een leuke uitleg

http://www.digitalsanctuary.com/tech-blog/debian/using-iptables-to-prevent-ssh-brute-force-attacks.html
14-04-2011, 03:21 door ej__
Door Anoniem: @ej:
"En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?"
ik acht mezelf in staat om redelijk te kunnen beoordelen of een pc gecompromitteerd of is voorzien van een keylogger

Knap. Dat vereist helderziendheid. Of je overschat jezelf (ernstig).


"Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent"
Normaal werk ik voor die service afdeling samen met nog 2 collegas.
Mijn werkgever staat het niet toe dat we allemaal gelijktijdig in het buitenland zijn.
waarom zou mijn verhaal niet consistent zijn?

Omdat dan je toegang van buitenaf niet nodig is.


"Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei."
Jij blokeerd een IP adres na 3 pogingen; botnets gebruiken steeds een ander ip adres vandaar dat het niet werkt.
of doet jou tool iets anders als een ip adres blokkeren? of weet je niet wat een distributed bruteforce aanval inhoud misschien?

Denk je dat ik een beginneling ben? Natuurlijk weet ik wat een distributed bruteforce aanval inhoud. Maar wat boeit dat, iedere keer na een paar pogingen is het over en sluiten. Mijn servers worden daar niet mee belast hoor. Sowieso maak ik me daar geen zorgen over met keyed logins. S/key is ook grappig voor ssh servers. Daar kunnen dat soort scriptjes ook niet echt mee omgaan.


"niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik."

heb hier geen ervaring mee; mocht ik hier tegen aan lopen dan zal ik het zeker hier posten

Daar loop je alleen tegenaan op een moment dat dat absoluut niet uitkomt. Iets met Murphy. Dan wordt je vanzelf gestraft voor domme configs, zoals met fail2ban en geoip.
14-04-2011, 09:09 door Anoniem
Nee, je kop in het zand steken voor de huidige dreigingen is een slimme configuratie waar je nooit voor gestraft gaat worden zullen we maar zeggen.

Ej, wat een houding neem jij aan zeg; zeer onprofecioneel.
14-04-2011, 10:18 door Anoniem
Fail2Ban is zoeizo goed.
Maar wat nog beter werkt is SSH op een andere poort zetten :)

i've got both
14-04-2011, 10:48 door ej__
Door Anoniem: Nee, je kop in het zand steken voor de huidige dreigingen is een slimme configuratie waar je nooit voor gestraft gaat worden zullen we maar zeggen.

Ej, wat een houding neem jij aan zeg; zeer onprofecioneel.
Huh? Je kop in het zand steken? Heb je wel gelezen? Daar geef je in ieder geval geen blijk van.

Ik dacht dat ik redelijk goede argumenten tegen prutsoplossing heb. :D Er zijn gewoon veel, veel betere oplossingen.
14-04-2011, 11:45 door Anoniem
... En zo verwordt een erg interessante discussie tot een flamewar tussen mensen die het beter denken te weten...

Gebruik zelf ook fail2ban, overigens zonder Geo-IP. Is volgens mij ook niet echt nodig - na 5 pogingen wordt het betreffende IP adres toch geblokkeerd. Een lange tijd geleden eens een distributed brute force attack gezien, maar zonder succes. Probleem dat ook door een gedistribueerde aanval niet kan worden opgelost is dat je ook de usernames niet weet. Je kan wel netjes via verschillende IP adressen de lijst met standaard gebruikers afgaan en daar wat wachtwoorden op proberen, maar het effect lijkt nog steeds erg beperkt... Fail2ban = prima!
14-04-2011, 11:54 door Anoniem
@anoniem(18:31)

"http://www.digitalsanctuary.com/tech-blog/debian/using-iptables-to-prevent-ssh-brute-force-attacks.html"

ook deze oplossing bied geen bescherming tegen distributed bruteforce aanvallen; zo deden wij het eerder ook


Greetingz,
Jacco
14-04-2011, 12:37 door Anoniem
*Gaap*, lang leve ssh-keys :-) Waarom is deze bovenstaande discussie uberhaupt nodig?
14-04-2011, 20:16 door Anoniem
Ik doe veel een "password" als username en dan een eenvoudig te onthouden wachtwoord bijv.
Staat alleen wel beetje vreemd op de console:

[kao0Yathupiyaba@work] ~> whoami
kao0Yathupiyaba
21-04-2011, 09:18 door Anoniem
we hebben vandaag weer een bruteforce poging gehad; van LEASWEB!!!
21-04-2011, 11:59 door ej__
Misschien tijd eens bij http://www.baekdal.com/tips/password-security-usability te kijken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.