¿Necesito el registro habilitado en mis reglas en IPFW para que sshguard-ipfw funcione / ponga la lista negra de direcciones IP?

1

Del manual de FreeBSD:

  

Incluso con la función de registro habilitada, IPFW no generará ningún registro de reglas por sí solo. El administrador del firewall decide qué reglas del conjunto de reglas se registrarán y agrega la palabra clave de registro a esas reglas.

Entonces, mi pregunta es, ¿debo habilitar el registro de las reglas de IPFW para que funcione sshguard-ipfw y poder incluir en la lista negra de IP?

Solo tengo reglas que permiten la entrada y salida de SSH en 22. Sólo tendría sentido registrar las reglas de denegación. ¿Los errores de autenticación de Pam para SSH deberían ser suficiente información para que sshguard-ipfw bloquee y ponga en una lista negra las IPs?

Según el sitio web de sshguard, puedes usarlo incluso sin un firewall, así que supongo que los registros para ipfw no importan.

Antes de que alguien diga esto en las respuestas para habilitar las listas negras, agregue esto a syslog.conf auth.info;authpriv.info |/usr/local/sbin/sshguard -10:/var/db/sshguard/blacklist.db

Gracias.

    
pregunta user26554 30.05.2013 - 12:38
fuente

1 respuesta

1

El registro está abierto a elección y explicaré por qué. Es más fácil bloquear TODOS (soltar, no rechazar) y permitir SOLO direcciones confiables. Esto le permite hacer UNA regla en lugar de N cantidad de reglas que generaría mediante una lista negra. Eche un vistazo a la lista negra promedio y encontrará que puede haber más de 1k en un día determinado. Lo que ocurre es lo siguiente:

Cortafuegos (si es IPFW, IPTables, un Checkpoint FW, SSG, etc.):

Connection is coming in --> Check against the first rule
Connection is coming in --> Check against the second rule
Connection is coming in --> Check against the ... rule

Su máquina tendrá que procesar N cantidad de reglas, donde N es la cantidad de direcciones IP en su lista negra. Sin mencionar, conozco robots basados en ssh que falsifican direcciones, por lo que también existe la posibilidad de suplantación de identidad: la propia máquina, la ruta predeterminada ... 0.0.0.0/0 (todos). Piense en eso por un momento. Si hiciera lo siguiente:

nmap -sS YOUR.IP.ADDRESS -p 80 -D 0.0.0.0,YOURGATEWAYIP,YOURUPSTREAMGWIP

Sus registros mostrarán las entradas de 0.0.0.0, su IP de Gateway, su IP de GW ascendente, creando a su vez una regla de FW para bloquear conexiones. Para evitar esto, tendría que poner la dirección IP en la lista blanca, creando aún más reglas:

Connection is coming in --> Check against the first rule --> WHITELISTED

Este paquete se enviará inmediatamente dependiendo de la ubicación de la regla (tendría que ser uno de los primeros. De lo contrario:

Connection is coming in --> Check against the first rule
Connection is coming in --> Check against the second rule
Connection is coming in --> Check against the ... rule
Connection is coming in --> Check against the first rule --> WHITELISTED

Cuanto más grandes sean las reglas, más difícil será mantenerlas. Si es posible, es mejor hacer lo siguiente:

firewall --> this Whitelisted address is allowed all others blocked

Una regla para procesar frente a reglas engorrosas. Ahora, de vuelta al registro; ¿Cuál sería el objetivo del registro? Los ataques vienen, los ataques van. El Internet es como el espacio exterior lleno de basura. Muchos de los ataques ssh provienen de hosts comprometidos, no del atacante real. Muchas son partes de redes de bots, algunas de las cuales tienen cientos de miles de personas. No solo está desperdiciando la capacidad de procesamiento, sino que, al final, también está desperdiciando espacio en las unidades, ya que los registros pueden crecer.

    
respondido por el munkeyoto 30.05.2013 - 19:43
fuente

Lea otras preguntas en las etiquetas