Posts Tagged ‘ Firewall

Debian Jessie: Трюки вокруг доступа к sshd (iptables, ipset, geoip)

Это заметка из цикла стетей моего небольшого HowTo по Debian Jessie.

Тут я уже описывал ранее вариант фильтрации доступа к ssh по GeoIP. На этот раз покажу вам более интересный вариант с ipset и модуль TARPIT для IPTABLES. Сразу скажу пару слов об этих новых сущностях:
ipset — модуль поддержки таблиц для iptables с сопутствующей обвязкой для управления этими самими таблицами: создание, удаление, работа с элементами таблицы и тп. Сам по себе модуль весьма хорош и здорово повышает эффективность работы iptables с большим количеством ip-адресов и сетей. Но если разсметривать реализацию iptables + ipset вцелом — то оно мне напоминает пятиколесный велосипед с деревянными спицами. Уж простите за такую ассоциацию у человека несколько лет админившего всякие там pf/ipfw в BSD-ях. На High-Load юзать можно и нужно!
TARPIT модуль для IPTABLES — это модуль для it-весельчаков. Суть работы этого модуля заключается в том что он какбы держит открытым указанный TCP порт, но при попытке клиента соединиться — не шлет в ответ абсолютно ничего. Это такой себе blackhole или nullroute на уровне фаервола. Это приводит к «зависшему» соединению с возможностью закрыть его только автоматически по истечению таймаута. Задумка модуля в том чтобы не просто блокировать бота, а истощать его ресурсы на соединение, мизерные, конечно, но всеже … На High-Load юзать не желательно, лучше пользуйте DROP!
Читать полностью

Debian Jessie: Базовая настройка фаервола (iptables)

Это статья из цикла стетей моего небольшого HowTo по Debian Jessie.
Итак, на данном этапе мы уже порядочно продвинулись с настройками нашего сервера. Мы уже настроили ftp, dhcp, ntp, ssh и вплотную подошли к настройке web-сервера. Но перед этим я бы хотел написать коротенькую заметку про iptables. Это первая настройка фаервола, поэтому тут все будет очень лаконично, чуть позже, после настройки web-сервера мы вернемся к этому вопросу и немного углубимся в тему iptables и безопастности.
Очень рекомендую глянуть пример простейшей настройки iptables на официальном wiki Debian
Ну поехали … Читать полностью

FreeBSD + IPFW: Блокируем SMTP Bruteforce

На предыдущей работе досталось в подчинение пара почтовых серваков с оооочень древними доменами, огромным количеством ящиков и не менее огромным количеством бесконечных брутфорсов. Не знаю что было причиной бесконечных атак на эти серваки, но то что он был в like list у всевозможных ботов — это уж точно! Почта была критичным сервисом, но ближайшие планы включали миграцию на MS Exchange, поэтому позиция руководства была примерно такой «Ну онож работает? Да! Вот и не трогаем пока … нам бы побыстрее мигронуть на эксчендж да вырубить их нафик!» Но один раз случился инцидент который заставил изменить позицию неприкосновения. Несмотря на рендомные пароли, один ящик был сбрутен, и как результат — отправка через наш сервак порядка 40.000 спам писем со ссылками на различные ресурсы интимного направления 🙂
Короче было дано задание «Чтото с этим сделать!» Читать полностью

Bye-bye SSH/FTP Bruteforce

Сегодня утром был злой. Задолбал брутфорс ssh и ftp. Освоил новый инструмент бана. Не секрет что бан фаерволом дороже чем blackhole/nullroute. Опробовал в FreeBSD, забанил пару сеток:

root@black:~# route add -net 46.151.48.0/21 127.0.0.1 -blackhole
add net 46.151.48.0: gateway 127.0.0.1
root@black:~# route add -net 62.201.212.0/22 127.0.0.1 -blackhole
add net 62.201.212.0: gateway 127.0.0.1
root@black:~# route add -net 222.161.0.0/16 127.0.0.1 -blackhole
add net 222.161.0.0: gateway 127.0.0.1

Читать полностью

ESXi 5.0 — Firewall rules by SSH

Понадобилось както розковырять в фаерволе доступ для сети к ESXi 5.0 хосту через SSH. Было стрёмно, но не так уж и сложно:

~ # esxcli network firewall ruleset allowedip add -r sshServer -i 190.100.200.0/24
~ # esxcli network firewall ruleset allowedip add -r vSphereClient -i 190.100.200.0/24

Эти чудесные команды открыли доступ ssh клиентом и vSphereClient-ом на хост ESXi для сети 190.100.200.0/24
Хай щастить!

FreeBSD 9.2 и «хитрый NAT» в PF

Итак, стоит задача пробросить пакеты «с мира» внутрь сети, да еще и «отнатить» их на внутреннем интерфейсе. Для визуализации задачи вот такая схемка:

Host_A (IP 91.91.91.91) -> Host_B (WAN_IP 15.15.15.15 -> LAN_IP 192.168.100.100) -> Host_C (LAN_Router) -> Host_D (IP 172.15.99.99)

Это все довольно просто делается на FreeBSD в PF, если на out политик нету, то достаточно трех правил:

INET_IF = "em0"
INET_LOCAL = "em1"
BACULA_SD = "172.15.99.99"

rdr on $INET_IF proto tcp from 91.91.91.91 to $INET_IF port 9103 -> $BACULA_SD port 9103
nat on $INET_LOCAL from 91.91.91.91 to $BACULA_SD -> $INET_LOCAL
pass in quick log on $INET_IF inet proto tcp from 91.91.91.91 to any port 9103 flags S/SA keep state

Правда провозился я долго, оказалось что тупо забыл включить ip-forwarding 🙂 Читать полностью

Ubuntu 14.04 — Iptables TARPIT

Опять линукс … возвращение на родину после бздьовых годков 🙂 После ipfw и pf в FreeBSD/OpenBSD линуховый iptables вызывает рвотные рефлексы 🙁 Но есть одна фишка которую я просто обожаю в iptables — TARPIT. Это «ложка дегтя» для всяких какеров и прочей нечести блуждающей в инете в поисках чего бы побрутфорсить 🙂 Не успел поднять ProFTPD как поломились китайские боты подбирать пароли 🙂 Ну ничего, пока их немного — скормлю ручками их TARPIT-у … пусть развлекаются! Можно конечно и DROP применять, но TARPIT с одной стороны блочит трафик напрочь, как DROP, а с другой не рвет TCP сессию … а какбы «специально держит ее», чтобы атакующий не мог закрыть соединение. Таким образом тратятся ресурсы как сервера (они тратятся и при DROP), так и бота. Думаю если бы мы жили в идеальном мире и все Linux сервера применяли вместо DROP TARPIT — ботам пришлось бы ой как тяжко 🙂 Но …. мир не идеален — но мы к таковому стремимся!
Читать полностью

MS Outlook 2007/2010/2012 — Ошибка «На сервере отсутствует поддержка указанного типа шифрования»

На некоторой части машин под виндой начала появляться ошибка при отправке почты:
«Отправка тестового сообщения: На сервере отсутствует поддержка указанного типа шифрования подключений. Попробуйте изменить способ шифрования. За дополнительными сведениями обратитесь к администратору почтового сервера или к поставщику услуг Интернета.»
Ни обновление Outlook, ни переустановка ничего не давала. Решение нагуглилось на зарубежных форумах и оказалось довольно неожиданным — нужно удалить обновление Windows KB980436
Для этого идем в «Панель Управления -> Программы-> Программы и компоненты -> Установленные обновления» ищем данный апдейт, правой кнопкой на нем и «Удалить». После этого reboot и все прекрасно начинает работать.
Также, вполне возможно, глюк порождал кривой конфиг Fortigate-а. В процессе поиска решения его настройки тоже ковыряли 🙂
Читать полностью

Настройка PF — nat + firewall

Статья из серии статей о настройке сервера для небольшого офиса на OpenBSD.

Захотелось вот настроить на старенькой машинке маршрутизатор для небольшой дружественной компании. Парк машин (читай, количество клиентов) около 20-30 штук. Такчто особой вычислительной мощи от компа и не требуется. Конечно же вопрос о выборе системы тоже обдумывался. Самым весомым аргументом в выборе было личное любопытство к пакетному фильтру PF. Вот чтото захотелось мне его пощупать. Много всякого слышал о pf, кто хвалит, кто ругает … почитал немного в инете разные тематические форумы, посмотрел как люди делают … и тд.- вот и загорелся желанием и сам опробовать в действии сей продукт. Да и начальник о pf лестно отзывался — мол просто настраивается и работает стабильно. Ну ладно, раз так — значит буду пробовать! Но тут еще засада с выбором OS, pf то есть в нескольких операционках! Точнее во всех семейства BSD 🙂 Правда, после того как я узнал что PF был разработан как сетевой фильтр именно для OpenBSD, выбор был сделан именно в пользу опёнка.
Как, что и куда крутить — инфы в инете скопилось навалом. Но всеже с самого начала очень рекомендую почитать на официальном сайте OpenBSD очень хорошее FAQ по PF Львиная часть, кстати, на русском 🙂 Почитали? Тогда начнемс!
Читать полностью

Домашний сервер с Debian — Firewall + NAT

Появилось сегодня настроение «покрутить за настройки» свой домашний сервер с Debian Lenny на борту 🙂 С чего бы это вдруг … даже не спрашивайте — чето захотелось срочно поадминить 😀 Ну чтоже настраивать то? Вроде и так все работает и даже кушать не просит! Однакоже, давно мне не давала покоя мысль что firewall у меня дома, ну вообще не по фэншую настроен. Чего только стоит default policy ACCEPT во всех цепочках 😀 Из умений нынешних стоит отметить лиш NAT — работает исправно, не ломался пока еще, и вообще проблем никаких. Вот так вот … на работе сижу вылизываю все, а дома когдато поднял по быстрячку, лиш бы работало — и сплю спокойно! Все как обычно — сапожник без сапог … но это поправимо! Вот, собственно, нашелся обьект «донастройки»? Вполне подойдет, подумалось мне, и взялся я за него основательней!
Читать полностью