Evitando o ataque de força bruta do Sendmail no Solaris 10

4

Eu quero bloquear dinamicamente conexões específicas que usam o mesmo endereço IP com base em uma taxa ou limite de conexão. Isso é possível usando o Solaris / IPF ou alguma extensão do sendmail? Quero limitar as tentativas de login do sendmail para impedir ataques de força bruta.

No Linux, ele é facilmente manipulado na camada de firewall do iptables, mas não consegui descobrir uma maneira de usar o ipf para limitá-lo na camada do firewall. O Sendmail tem um limite de taxa e conexão embutido, mas parece ser aplicado a todos os usuários, por isso, se estivermos experimentando um DOS ou DDOS, ele bloquearia todos os nossos usuários em vez de apenas o invasor.

    
por Andrew Case 15.05.2011 / 00:49

1 resposta

1

Eu resolvo isso adicionando outra regra no syslog / rsyslog para enviar mensagens. * mensagens para um fifo em / etc / mail / mailban / syslog_fifo

Eu então fiz um daemon para ler o syslog_fifo, analisar as mensagens do sendmail e agir sobre o que é encontrado. O histórico de cada endereço IP e atividade é rastreado através de uma tabela de 1,5 milhões (!) Mysql. Endereços IP ofensivos são adicionados a uma cadeia de banimento no iptables para várias durações / portas, dependendo de vários critérios, e a vida continua docemente ...

Uma tarefa Cron simples é executada a cada hora e libera endereços IP antigos e atualiza o status no banco de dados de acordo.

Agora eu fiz o software automaticamente compilar e limpar os registros de log, encontrar o endereço de abuso responsável para o ip e, em seguida, envia um relatório informando o ISP do comportamento anti-social. Funciona em cerca de 5% dos casos e ajuda um pouco a limpar a rede.

Isso também requer uma lista negra de ISPs delinquentes que não aceitam ou ignoram esse tipo de reclamação, e isso evolui com o tempo.

Eu também uso outra solução semelhante para ataques ssh, pop3, httpd.

Eu não sei de nenhum outro software que faz isso, mas eu poderia ajudá-lo a desenvolver uma solução, embora eu esteja mais familiarizado com o RedHat / Fedora.

    
por 24.07.2011 / 21:05