Security Professionals - ipfw add deny all from eindgebruikers to any

Veel broetfoors de laatste week

17-10-2023, 19:14 door Anoniem, 3 reacties
Het zal wel weer aan mij liggen. Dat gebeurt vaker. Maar ik had zo wat gedoe met postfix en dacht ineens, wat is die mail.log groot ineens. Eerst mijn mail gedoe opgelost. Daarna maar eens een grep op SASL. Dat aangeeft dat inloggen op de mailserver mislukt is. Wat raar is want ik ken al de mail clients die ik host. Dat waren er de laatste week 160.000. Zomaar.

Dus dat kenniewezen. Er werd flink van allemaal IP's geprobeerd. Nou zijn de passwords sterk. Want ik ken alle mail accounts die ik host en hoe ze gebruikt worden. Wat gelijk al opviel waren twee subnets. Eentje uit Iran die inlogparkinson had. Een andere in de buurt van New York. Allemaal "kale IP's", geen website op actief in het hele subnet. Die gelijk al in de iptables gegooid.

Daarna eens lekker aan het spelen gegaan met fail2ban. Die had ik al, maar bleek wat te democratisch ingesteld. Na een weekendje stoeien en strengzijn terwijl hier alles vrolijk blijft werken, staat de teller hiero:
sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "select distinct ip from bips"|wc -l
1648

Zodra ik op postfix de duimschroeven aandraai gaat het over naar sshd. Waar je dan weer meer mee moet oppassen want anders kun je zelf nergens meer bij. Knijp ik alles flink af dan zie ik testjes op ws-ftpd. Waar ik helemaal geen actieve accounts op heb staan.

Aan mijn logs te zien is het van de laatste week. Of twee. Dat het ineens zo veel is.

Het kan aan mij liggen, schreef ik al. Ook dat komt nog veel te vaak voor. Het grootste gevaar in security is denken dat je slim bent!

Maar ik deel het graag met de scuritybroeders en zusters. Doe een grep SASL mail.log|wc -l

Want bij mij zat die vol met bedwantsen en dat is pas sinds kort. Die onder de radar door proberen te vliegen.
Reacties (3)
18-10-2023, 08:24 door Anoniem
Zo jammer dat we allemaal hetzelfde doen.

Zou er nou 1 lijst beschikbaar zijn die we allemaal* kunnen vullen, dan heb je zo een botnet veel sneller nutteloos gemaakt.
Of een digitale politie waar je dit kan doorgeven en die onderzoek doet om die apparaten van het net te knikkeren zoals bv xs4all dat vroeger deed met hun eigen IPs die bijzondere dingen deden.

*) binnen je circle of trust van mailbeheerders die geen false positives opvoeren
18-10-2023, 14:27 door Anoniem
Door Anoniem: Zo jammer dat we allemaal hetzelfde doen.

Zou er nou 1 lijst beschikbaar zijn die we allemaal* kunnen vullen, dan heb je zo een botnet veel sneller nutteloos gemaakt.
Of een digitale politie waar je dit kan doorgeven en die onderzoek doet om die apparaten van het net te knikkeren zoals bv xs4all dat vroeger deed met hun eigen IPs die bijzondere dingen deden.

*) binnen je circle of trust van mailbeheerders die geen false positives opvoeren
https://www.spamhaus.org/drop/
19-10-2023, 02:08 door Anoniem
Je kent je mail hosts je zegt dat het allemaal sterkte wachtwoorden zijn waaruit we kunnen opmaken dat ze of A allemaal van jezelf zijn.. B je bepaalde eisen afdwingt bij het opstellen van de wachtwoord of C denkt dat ze veilig zijn.

Laten we uitgaan van A of B dan great op roekeloos gebruik na zerodays, zwak DNS beheer of mitm na ben je relatief veilig. Je weet dat je logs groot worden dus ik neem aan dat je nu ook log rotate goed hebt geconfigureerd en opslag naar extern medium voor eventuele latere audit. Maar waarom de moeite nemen IP geo te checken als je fail2ban instelt. Aanvallen veranderen constant van locatie de tijd dat je je servers kon beschermen door preventief geo blocks te doen is al decenia voorbij. Nederland heeft een van de grootste aanvals ranges we staan meesta per jaar in de top 10. Je blocked ze incremental op poging, auto report ze en verder niks aan de info als de beheerder. Really niet je tijd waard. Update je lijsten en laat het beestje zijn werk doen daar is het voor ontwikkelt.

Waarom direct query vanuit de database als je fail2ban hebt. "fail2ban-client status sshd" vervang sshd met welke jail je hebt opgezet en je hebt je lijst. Of nog beter waarom niet een dag, week, maand report opzetten?

Waarom zou sshd blokkade gevaarlijk zijn. Je kunt je beheerder IP's preventief allowen voor root of andere rol als je sterke private keys hebt met passphrases. Daarna deny je ieder ander en er tussen maak je groepen aan voor wie beperkte sshd toegang nodig heeft maar geen root. Zelfs dan als je gebruik maakt van een carierhotel setup, VPS of dedicated DC hosting heb je nog bij de meeste directe console access of via een engineer in noodgevallen. We hebben zelf root sshd toegang uitstaan en schakelen het enkel in via een directe console via het datacenter als het nodig is met log wanneer dat gedaan wordt en door wie en actieve MFA. Scheelt je een enorme aanvals vector.


Het grootste gevaar in security is denken dat je ooit echt veilig bent. Als je niet slim bent zit je niet lang in deze business. Wil niet zeggen dat je slimmer bent of hoeft te zijn dan de gene die je aanvallen maar in situaties waar elke seconde dat iets mis gaat veel geld kost of schade veroorzaakt you better be smart enough. Zoals ik tegen ieder zeg die ooit in IT aan de slag wil wees voorbereid om elke dag uit eigen beweging te studeren. Als je niet van leren houdt is dit en wordt dit nooit je vak.

Mijn advies automatiseer je boel zet een SIEM op. Zet goede alert regels op voor events die belangrijk worden geacht. Je verspeeld veel te veel van je tijd met handmatig zoeken. Misschien leuk om te doen maar verstandig is het niet. Alles wat er niet doorgekomen is is geen echte bedreiging of dat er nu 2K zijn 160K of een miljoen zolang het niet je resources nadelig beinvloed en geen schade doet it really does not matter.

Door Anoniem: Zo jammer dat we allemaal hetzelfde doen.

Zou er nou 1 lijst beschikbaar zijn die we allemaal* kunnen vullen, dan heb je zo een botnet veel sneller nutteloos gemaakt.
Of een digitale politie waar je dit kan doorgeven en die onderzoek doet om die apparaten van het net te knikkeren zoals bv xs4all dat vroeger deed met hun eigen IPs die bijzondere dingen deden.

*) binnen je circle of trust van mailbeheerders die geen false positives opvoeren
Er zijn pletora aan lijsten die gedeeld worden tussen server owners ISP,s die je kunt aanvullen mits je je inschrijft en API of andere sync op zet. Echter botnets bestaan tegenwoordig uit miljoenen systemen het kost nu eenmaal tijd om de threshold waarde van zulke lijsten te bereiken voor het een block veroorzaakt. Je moet als beheerder ook enkel die zaken preventief blokkeren die het waard zijn voor je gebruikers. Je kan de halve wereld qua botnets preventief blokkeren maar je rekening van CPU, IOPS en geheugen verbruik gaat dan ook door het dak die je sooner or later moet doorberekenen. Het is een balans die je moet vinden.

Naast dat je bij te strenge beveiliging ook op positive results kan rekenen die je niet kan blokkeren omdat je gebruikers afhankelijk ervan zijn ook al zou je dat heel graag willen. De hoeveelheid lakse ISP's alleen al in Nederland qua hun IP reputatie management is beschamend. Als ik de strikste lijsten zou aanhouden zou rond 90% van Nederlands bekendste providers nu geblokkeerd zijn in enige vorm op ons netwerk. En je wilt niet weten hoe frustrerend en hoelang het kan duren voor je die partijen beweegt tot actie soms.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.