[Wien] [Housing] (security) 32 mil. passwoerter sind oeffentlich bekannt, deins auch?

Adrian Dabrowski (spam-protected)
Mi Jan 27 23:48:02 CET 2010


> Hintergrund dieser Mail: ihr koennt euch evtl. an die Diskussion ueber die SSH
> brute-force Attacken auf unsere Funkfeuer Knoten erinnern? [1]. Nunja, alle
> unsere Funkfeuer Knoten und Server haben public IPs! Das heisst, die
> Passwoerter sollten wirklich gut sein.

bei ssh (und anderen login-diensten) ebenfalls gegen
brute-force-attacken zu empfehlen: SYN-Packet rate limiting.

zb:

# create table SYN
iptables -N SYN

# alle connection aufbauten (syn flag) in die eigene SYN table umleiten.
iptables -I INPUT -p tcp --syn -j SYN
(...)

# ssh rate limiting
#######################
# my 1.2.3.4/27 is my private ip range, or other trusted network
iptables -A SYN -p tcp --dport ssh -s 1.2.3.4/27 -j ACCEPT

# 5 frei-connections, danach max 1 conenction/min
iptables -A SYN -i eth0 -m hashlimit -p tcp --dport ssh --hashlimit
1/min --hashlimit-burst 5 --hashlimit-htable-expire 60000
--hashlimit-mode srcip --hashlimit-name ssh -j ACCEPT

# alles was bis dahin noch auf dem port da ist, wird verworfen
iptables -A SYN -i eth0 -p tcp -m tcp --dport 22 -j DROP

# (diesen block für alle anderen dienste wiederholen - zb pop3, imap,
ftp,...

(...)

(die lösung hat den vorteil dass sie kein connection-tracking benötigt,
welches eher ressourcen-intensiv ist.)

das prüfen auf syn-flag und hashlimit in einer iptables-klausel
funktioniert übrigens nicht zuverlässig, weil nicht ganz klar ist,
welche der klauseln zuerst ausgewertet wird - das ist nur dann egal,
wenn alle klauseln keine seiteneffekte haben - die hashlimit ganz klar
hat. deshalb die lösung mit einer extra table.

lg,
adrian




Mehr Informationen über die Mailingliste Wien