Security Professionals
- ipfw add deny all from eindgebruikers to any
Geo-ip + fail2ban
12-04-2011, 08:52 door Anoniem, 18 reacties
Ik wou met jullie een positieve ervaring delen.
Sinds een aantal maanden gebruiken we geoip + fail2ban om aanvallen op onze SSH services af te slaan.
We staan enkel IP adressen uit nederland toe.
Mijn ervaring van de afgelopen maand is dat we GEEN ENKELE bruteforce aanval meer ervaren op onze SSH services.
De eerste 2 maanden zijn onze SSH services nog 4 keer aangevallen ; allemaal vanaf een Leasweb ip.
Ik heb Leasweb hier een aantal keer over aangeschreven (zonder onze ip adressen te vermelden)
Nu ervaren we zelfs van Leasweb geen aanvallen meer :)
Houd Nederland schoon!
Greetingz,
Jacco
Sinds een aantal maanden gebruiken we geoip + fail2ban om aanvallen op onze SSH services af te slaan.
We staan enkel IP adressen uit nederland toe.
Mijn ervaring van de afgelopen maand is dat we GEEN ENKELE bruteforce aanval meer ervaren op onze SSH services.
De eerste 2 maanden zijn onze SSH services nog 4 keer aangevallen ; allemaal vanaf een Leasweb ip.
Ik heb Leasweb hier een aantal keer over aangeschreven (zonder onze ip adressen te vermelden)
Nu ervaren we zelfs van Leasweb geen aanvallen meer :)
Houd Nederland schoon!
Greetingz,
Jacco
Reacties (18)
Misschien ook handig om de volgende keer een handleiding te vermelden ;)
http://www.fail2ban.org/wiki/index.php/HOWTO_use_geoiplookup
Daar komt bij dat ik persoonlijk liever via Private key's werk. Wachtwoord voor SSH zijn zwaar achterhaald.
http://www.fail2ban.org/wiki/index.php/HOWTO_use_geoiplookup
Daar komt bij dat ik persoonlijk liever via Private key's werk. Wachtwoord voor SSH zijn zwaar achterhaald.
12-04-2011, 14:24 door
boeFFeee
link werkt niet..? :)
12-04-2011, 16:00 door
ej__
Nooit gezeur mee: http://home.nuug.no/~peter/pf/en/bruteforce.html
Veel betere oplossing. Geen externe pakketten (met hun eigen kwetsbaarheden) nodig.
O, en het is zo handig dat je alleen ip adressen uit Nederland toe laat als je een keertje in het buitenland bent. Not. Maar daar kom je nog wel achter.
Veel betere oplossing. Geen externe pakketten (met hun eigen kwetsbaarheden) nodig.
O, en het is zo handig dat je alleen ip adressen uit Nederland toe laat als je een keertje in het buitenland bent. Not. Maar daar kom je nog wel achter.
@anoniem(9:39)
Ik vind zelf die Private keys niet handig om uit mijn hoofd te leren; zeker als het om meerder verschillende keys gaat.
Ik wil namelijk vanaf iedere computer in nederland toegang kunnen krijgen tot verschillende servers zonder dat ik een of ander private key bij me hoef te hebben.
Zeggen dat wachtwoorden achterhaald zijn lijkt me niet juist.
wat is er mis met mijn wachtwoord : ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%?toch
en waarom zou de private key oplossing beter zijn?
@ej : tegenwoordig worden grote botnets gebruikt om gedistribuweerde bruteforce aanvallen uit te voeren. deze hebben vaak erg veel ip adressen tot hun beschikking; blokkeren op basis van ip adres heeft dan ook niet zo veel zin.
Je zult iets beters moeten verzinnen; vandaar dat ik mijn ervaring deel van mijn poging om 't veiliger te maken.
wat betreft in het buitenland zijn; onze service afdeling in NL is 24/7 bereikbaar.
Mocht mijn hulp vanuit het buitenland nodig zijn dan kunnen ze me vast helpen aan een remote shell in de NL
greetingz,
Jacco
Ik vind zelf die Private keys niet handig om uit mijn hoofd te leren; zeker als het om meerder verschillende keys gaat.
Ik wil namelijk vanaf iedere computer in nederland toegang kunnen krijgen tot verschillende servers zonder dat ik een of ander private key bij me hoef te hebben.
Zeggen dat wachtwoorden achterhaald zijn lijkt me niet juist.
wat is er mis met mijn wachtwoord : ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%?toch
en waarom zou de private key oplossing beter zijn?
@ej : tegenwoordig worden grote botnets gebruikt om gedistribuweerde bruteforce aanvallen uit te voeren. deze hebben vaak erg veel ip adressen tot hun beschikking; blokkeren op basis van ip adres heeft dan ook niet zo veel zin.
Je zult iets beters moeten verzinnen; vandaar dat ik mijn ervaring deel van mijn poging om 't veiliger te maken.
wat betreft in het buitenland zijn; onze service afdeling in NL is 24/7 bereikbaar.
Mocht mijn hulp vanuit het buitenland nodig zijn dan kunnen ze me vast helpen aan een remote shell in de NL
greetingz,
Jacco
13-04-2011, 13:35 door
ej__
Door Anoniem: @anoniem(9:39)
Ik vind zelf die Private keys niet handig om uit mijn hoofd te leren; zeker als het om meerder verschillende keys gaat.
Ik wil namelijk vanaf iedere computer in nederland toegang kunnen krijgen tot verschillende servers zonder dat ik een of ander private key bij me hoef te hebben.
Zeggen dat wachtwoorden achterhaald zijn lijkt me niet juist.
wat is er mis met mijn wachtwoord : ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%?toch
en waarom zou de private key oplossing beter zijn?
Ik vind zelf die Private keys niet handig om uit mijn hoofd te leren; zeker als het om meerder verschillende keys gaat.
Ik wil namelijk vanaf iedere computer in nederland toegang kunnen krijgen tot verschillende servers zonder dat ik een of ander private key bij me hoef te hebben.
Zeggen dat wachtwoorden achterhaald zijn lijkt me niet juist.
wat is er mis met mijn wachtwoord : ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%?toch
en waarom zou de private key oplossing beter zijn?
En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?
De private key oplossing is beter omdat heel clear password authentication (met eventuele theoretische flaws) is uitgeschakeld. Op de private key kan ook het wachtwoord ikweetzekerdatdezeheellastigtebruteforcenis!!!@@@###$$$%%%? worden gezet. Nog steeds ben je op een gecompromitteerd systeem dan nog steeds kwetsbaar.
@ej : tegenwoordig worden grote botnets gebruikt om gedistribuweerde bruteforce aanvallen uit te voeren. deze hebben vaak erg veel ip adressen tot hun beschikking; blokkeren op basis van ip adres heeft dan ook niet zo veel zin.
Je zult iets beters moeten verzinnen; vandaar dat ik mijn ervaring deel van mijn poging om 't veiliger te maken.
Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei.
wat betreft in het buitenland zijn; onze service afdeling in NL is 24/7 bereikbaar.
Mocht mijn hulp vanuit het buitenland nodig zijn dan kunnen ze me vast helpen aan een remote shell in de NL
greetingz,
Jacco
Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent.
Voor je begrip: ik heb geen last van aanvallen van wie dan ook. Diverse servers op diverse plaatsen hangen aan lijnen met grote bandbreedte.
Tenslotte: niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik.
@ej:
"En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?"
ik acht mezelf in staat om redelijk te kunnen beoordelen of een pc gecompromitteerd of is voorzien van een keylogger
"Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent"
Normaal werk ik voor die service afdeling samen met nog 2 collegas.
Mijn werkgever staat het niet toe dat we allemaal gelijktijdig in het buitenland zijn.
waarom zou mijn verhaal niet consistent zijn?
"Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei."
Jij blokeerd een IP adres na 3 pogingen; botnets gebruiken steeds een ander ip adres vandaar dat het niet werkt.
of doet jou tool iets anders als een ip adres blokkeren? of weet je niet wat een distributed bruteforce aanval inhoud misschien?
"niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik."
heb hier geen ervaring mee; mocht ik hier tegen aan lopen dan zal ik het zeker hier posten
Greetingz,
Jacco
"En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?"
ik acht mezelf in staat om redelijk te kunnen beoordelen of een pc gecompromitteerd of is voorzien van een keylogger
"Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent"
Normaal werk ik voor die service afdeling samen met nog 2 collegas.
Mijn werkgever staat het niet toe dat we allemaal gelijktijdig in het buitenland zijn.
waarom zou mijn verhaal niet consistent zijn?
"Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei."
Jij blokeerd een IP adres na 3 pogingen; botnets gebruiken steeds een ander ip adres vandaar dat het niet werkt.
of doet jou tool iets anders als een ip adres blokkeren? of weet je niet wat een distributed bruteforce aanval inhoud misschien?
"niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik."
heb hier geen ervaring mee; mocht ik hier tegen aan lopen dan zal ik het zeker hier posten
Greetingz,
Jacco
hier staat wel een leuke uitleg
http://www.digitalsanctuary.com/tech-blog/debian/using-iptables-to-prevent-ssh-brute-force-attacks.html
http://www.digitalsanctuary.com/tech-blog/debian/using-iptables-to-prevent-ssh-brute-force-attacks.html
14-04-2011, 03:21 door
ej__
Door Anoniem: @ej:
"En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?"
ik acht mezelf in staat om redelijk te kunnen beoordelen of een pc gecompromitteerd of is voorzien van een keylogger
"En je weet zeker dat die 'iedere computer in Nederland' niet is voorzien van een keylogger?"
ik acht mezelf in staat om redelijk te kunnen beoordelen of een pc gecompromitteerd of is voorzien van een keylogger
Knap. Dat vereist helderziendheid. Of je overschat jezelf (ernstig).
"Dan is jouw hulp vanuit Nederland ook niet nodig, met 24 uur per dag service afdeling. Je verhaal is niet consistent"
Normaal werk ik voor die service afdeling samen met nog 2 collegas.
Mijn werkgever staat het niet toe dat we allemaal gelijktijdig in het buitenland zijn.
waarom zou mijn verhaal niet consistent zijn?
Omdat dan je toegang van buitenaf niet nodig is.
"Niet? Beter in je logs kijken. Meer dan 3x per minuut een poging? Doei."
Jij blokeerd een IP adres na 3 pogingen; botnets gebruiken steeds een ander ip adres vandaar dat het niet werkt.
of doet jou tool iets anders als een ip adres blokkeren? of weet je niet wat een distributed bruteforce aanval inhoud misschien?
Denk je dat ik een beginneling ben? Natuurlijk weet ik wat een distributed bruteforce aanval inhoud. Maar wat boeit dat, iedere keer na een paar pogingen is het over en sluiten. Mijn servers worden daar niet mee belast hoor. Sowieso maak ik me daar geen zorgen over met keyed logins. S/key is ook grappig voor ssh servers. Daar kunnen dat soort scriptjes ook niet echt mee omgaan.
"niet alle ip adressen die in Nederland worden uitgegeven worden door geo-ip gezien als ip adres uit Nederland. Kan je aardig verrassen. Er zijn EU netblocks in gebruik."
heb hier geen ervaring mee; mocht ik hier tegen aan lopen dan zal ik het zeker hier posten
Daar loop je alleen tegenaan op een moment dat dat absoluut niet uitkomt. Iets met Murphy. Dan wordt je vanzelf gestraft voor domme configs, zoals met fail2ban en geoip.
Nee, je kop in het zand steken voor de huidige dreigingen is een slimme configuratie waar je nooit voor gestraft gaat worden zullen we maar zeggen.
Ej, wat een houding neem jij aan zeg; zeer onprofecioneel.
Ej, wat een houding neem jij aan zeg; zeer onprofecioneel.
Fail2Ban is zoeizo goed.
Maar wat nog beter werkt is SSH op een andere poort zetten :)
i've got both
Maar wat nog beter werkt is SSH op een andere poort zetten :)
i've got both
14-04-2011, 10:48 door
ej__
Door Anoniem: Nee, je kop in het zand steken voor de huidige dreigingen is een slimme configuratie waar je nooit voor gestraft gaat worden zullen we maar zeggen.
Ej, wat een houding neem jij aan zeg; zeer onprofecioneel.
Huh? Je kop in het zand steken? Heb je wel gelezen? Daar geef je in ieder geval geen blijk van.Ej, wat een houding neem jij aan zeg; zeer onprofecioneel.
Ik dacht dat ik redelijk goede argumenten tegen prutsoplossing heb. :D Er zijn gewoon veel, veel betere oplossingen.
... En zo verwordt een erg interessante discussie tot een flamewar tussen mensen die het beter denken te weten...
Gebruik zelf ook fail2ban, overigens zonder Geo-IP. Is volgens mij ook niet echt nodig - na 5 pogingen wordt het betreffende IP adres toch geblokkeerd. Een lange tijd geleden eens een distributed brute force attack gezien, maar zonder succes. Probleem dat ook door een gedistribueerde aanval niet kan worden opgelost is dat je ook de usernames niet weet. Je kan wel netjes via verschillende IP adressen de lijst met standaard gebruikers afgaan en daar wat wachtwoorden op proberen, maar het effect lijkt nog steeds erg beperkt... Fail2ban = prima!
Gebruik zelf ook fail2ban, overigens zonder Geo-IP. Is volgens mij ook niet echt nodig - na 5 pogingen wordt het betreffende IP adres toch geblokkeerd. Een lange tijd geleden eens een distributed brute force attack gezien, maar zonder succes. Probleem dat ook door een gedistribueerde aanval niet kan worden opgelost is dat je ook de usernames niet weet. Je kan wel netjes via verschillende IP adressen de lijst met standaard gebruikers afgaan en daar wat wachtwoorden op proberen, maar het effect lijkt nog steeds erg beperkt... Fail2ban = prima!
@anoniem(18:31)
"http://www.digitalsanctuary.com/tech-blog/debian/using-iptables-to-prevent-ssh-brute-force-attacks.html"
ook deze oplossing bied geen bescherming tegen distributed bruteforce aanvallen; zo deden wij het eerder ook
Greetingz,
Jacco
"http://www.digitalsanctuary.com/tech-blog/debian/using-iptables-to-prevent-ssh-brute-force-attacks.html"
ook deze oplossing bied geen bescherming tegen distributed bruteforce aanvallen; zo deden wij het eerder ook
Greetingz,
Jacco
*Gaap*, lang leve ssh-keys :-) Waarom is deze bovenstaande discussie uberhaupt nodig?
Ik doe veel een "password" als username en dan een eenvoudig te onthouden wachtwoord bijv.
Staat alleen wel beetje vreemd op de console:
[kao0Yathupiyaba@work] ~> whoami
kao0Yathupiyaba
Staat alleen wel beetje vreemd op de console:
[kao0Yathupiyaba@work] ~> whoami
kao0Yathupiyaba
21-04-2011, 11:59 door
ej__
Misschien tijd eens bij http://www.baekdal.com/tips/password-security-usability te kijken?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
