Příspěvky

3751

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 14:50:23 »

Realita je taková, že z botnetů (které jsou na těch blacklistech převážně) jde spousta útoků po mnoho měsíců a správci těch botnetů tam přidávají nové exploity.

Na blacklistech není botnet, na blacklistech jsou IP adresy. Ono když na vaše zařízení zaútočí nějaký takový uzel botnetu, tak rovnou zaútočí – nefunguje to tak, že by se nejprve slušně představil a sdělil vám, ze kterého je botnetu, abyste si ho na základě toho mohl zablokovat. To, že správce botnetu přidává nové exploity, se vůbec nevylučuje s tím, co jsem napsal.

A jak jsem psal, ano něco ten blacklist stojí (třeba jeden DNS dotaz), ale to je nic proti tomu co by sežrala následná analýza, která se pochopitelně dělá, ale pro řádově méně requestů.

To je ale váš problém, že něco musíte sám před sebou schovat, abyste to pak nemusel analyzovat.

Blacklisty se nepoužívají jako jediná ochrana, ale jako jeden ze stupňů.

Stupňovaná obrana je hloupost. K čemu jsou ty slabší stupně, když za nimi následují silnější?

Proto se používají blacklisty, aby se snížili náklady.

Zavedení a údržba blacklistu a řešení jeho následků taky stojí náklady. Pokud máte náklady s tím, že něco analyzujete zbytečně, doporučil bych zabývat se spíš tím, proč to zbytečně analyzujete.

I ten fail2ban má své opodstatnění, kdybys totiž spravoval nějakou síť tak bys moc dobře věděl, že jedna IP adresa jednu chvíli zkouší bruteforce přihlášení přes SSH a druhou třeba přes IMAP.

Já to vím. Akorát že mezi „IP adresa zkouší“ a „opodstatnění“ není žádná přímá souvislost, to byste teprve musel odůvodnit, že to zkoušení je nějaký problém a že nejlepší řešení toho problému je fail2ban.

Slaď svůj vnitřní stav s realitou a pak můžem o něčem diskutovat.

Problém je, že vy nerozlišujete, co je realita, a co jsou nějaké vaše představy o souvislostech, které ani nedokážete formulovat. „IP adresa zkouší“ je realita, ale pak teprve musíte zjistit, jestli to je dobře nebo špatně, pokud se to špatně, tak proč, a pak teprve můžete vymýšlet, jak tomu, co je na tom špatně, zabránit.

3752

Sítě / Re:ipv6 a blacklisty

« kdy: 20. 09. 2017, 14:35:25 »

Nesouhlasím. Botnety většinou zkoušejí celou sérii testů a hledají mezi více zranitelnostmi. Tím pádem máte víc podezřelých požadavků ze stejné IP.

Vy se na to pořád díváte úplně opačně. Když řešíte zabezpečení, musíte dělat opatření na všechny typy útoků, které si dokážete představit a kterým se chcete bránit. Nemůžete to dělat opačně, že vymyslíte opatření, a pak krkolomně hledáte nějaký útok, který by tohle opatření zastavilo. Kdybyste dělal zabezpečení baráku, tak přece taky nebudete postupovat tak, že si řeknete: „Mám zeď. Představme si zloděje, který se nemůže zdí probourat. Výborně, máme zabezpečeno, zloděj se zdí neprobourá.“ A bylo by vám úplně jedno, že v té zdi máte otevřené dveře.

DoS není o zahlcení linky, ale o tom, že naslouchající procesy lze zahltit.

DoS je  odepření služby, kterého lze docílit například zahlcením linky.

3753

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 12:58:18 »

Už vidím kde je problém, Filip Jirsák mluví z pohledu domácího uživatele, někteří ostatní (vč. mě) zase z pohledu velké nadnárodní sítě, to se pak nemůžeme divit, že si nerozumíme.

Já píšu o tom, o čem je původní dotaz – tj. o přístupu ke službám poskytovaným nějakým serverem (nebo farmou serverů). Takový server klidně může být i v nějaké velké nadnárodní síti, ale pokud je alespoň trochu významný, těžko si může jeho provozovatel dovolit blokovat k němu náhodně přístup uživatelům jenom proto, že se nějakému správci nelíbí IP adresa toho uživatele.

Jakmile mám desítky až stovky tisíc stanic k ochraně (ať už serverů nebo osobních počítačů či uzlů), bez blokování provoz pro ochranu to nelze (takovou síť jsem ještě neviděl).

Kolik služeb poskytovaných po síti takový typický počítač provozuje? Nula? Víte, jak to dopadne, když tou nulovou budete násobit libovolný počet stanic? Navíc si trochu pletete pojmy, blokování na základě blacklistu IP adres není jediný způsob blokování provozu.

Doporučení držet vše aktualizované je hodně mimo realitu, plán aktualizace serverů pro i malou farmu o cca 2000 kusech je na několik týdnů a během té doby samozřejmě jsou servery zranitelné na opravovanou zranitenost, nasadit blokování, IPS, IDS je mnohem efektivnější a rychlejší a v praxi běžně používané i na ipv6, o čemž je tohle vlákno.

Vy vážně někde provozujete nezáplatovanou aplikaci a jediný způsob, jakým ji „chráníte“, je to, že k ní nepustíte komunikaci z nějakých víceméně náhodných IP adres? O tom je tohle vlákno. O tom, že pak vám tu aplikaci může hacknout kdokoli, kdo není na tom náhodně vytvořeném blacklistu.

Doporučení nepoužívat nešifrované ftp je opět mimo, občas to ani kvůli stáří SW a nákladům na jeho investici nejde, to se pak tuneluje a vlanuje.

Dotaz byl na příklady, jak se to dá řešit, ne na univerzální řešení použitelné vždy. Tuneluje se to pravděpodobně šifrovaným kanálem, takže to nakonec šifrované je. VLAN je řešení pro lokální síť, pokud někdo zavede VLANu, aby oddělil nešifrovaný FTP provoz do bezpečné sítě, a pak si v té bezpečné síti spustí fail2ban, asi nemá všech pět pohromadě.

To si může dovolit udělat domácí uživatel, pokud na daném protokolu je nějaká infrastruktura ve firmě závislá, jeho změna trvá nějakou dobu (obyč ftp jsem ale už také chvilku neviděl).

Pokud je na něčem takovém firma závislá, tak se musí dělat pořádná bezpečnostní opatření a ne jen sestavovat seznam těch, kteří už se dovnitř nabourali.

Nejsem zastánce automatického blokování celých sítí, ale určitá QoS musí být v provozu a musí umět zamezit problémům, které se dějí. Dnešní útoky a problémy jsou mnohem větší než zvládne NIC u koncové stanice, fail2ban byl asi spíš nástřel pro algoritmus než doporučení jeho bezhlavého používání, sám ho nemám rád, dá se s ním také pěkně vytížit server a efekt je opačný, na koncové stanici podobný SW nemá u mě co dělat.

Takže se nakonec shodneme. Já k tomu ještě klidně přidám, že když probíhá nějaký intenzivní útok z jedné IP adresy nebo sítě, tak tu jednu IP adresu nebo síť klidně dočasně zaříznu na firewallu, abych měl více prostoru na řešení toho problému. Není to ale bezpečnostní opatření a neočekávám od toho, že to vyřeší problém, je to jenom nouzové opatření.

3754

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 12:41:54 »

Tak to jste mě dostal. V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně . BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.

Cože? Víte, jak funguje botnet, který se pokouší zneužít nějaké zranitelnosti? Jsou v něm zapojená zařízení, každé zařízení má seznam adres, na které má útočit (v případě IPv4 nebude moc velká ztráta, pokud bude seznam úplný), a seznam útoků, které má vyzkoušet. Můžete botnet buď složitě koordinovat tak, že zařízením budete distribuovat disjunktní seznamy a zpětně zjišťovat, které útoky se provedly a které případně převelet jinam, protože třeba přidělené zařízení z botnetu vypadlo. A nebo se můžete na koordinaci vykašlat, protože je zbytečná a drahá, prostě dát každému zařízení kompletní seznam a ať si z něj vybírá náhodně.

Není to jeden nahodilý pokus o útok, jsou to různé útoky z různých nesouvisejících IP adres – podle toho, který člen botnetu zrovna náhodou zvolil vaší IP adresu. Jeden nahodilý pokus o útok by to byl tehdy, pokud by ten „botnet“ obsahoval jenom jedno zařízení – což ale není botnet.

Ale nenapsal jste řešení, 1. jak mitigovat 0day, 2. jak to řešit v prostředích, kde v praxi nemůžete provádět upgrady bez dlouhého testování.

Vy jste takové řešení také nenapsal, takže nemám důvod hledat nějakou náhradu. Řešení je například psát aplikaci tak, aby se možnost 0day útoků minimalizovala (zrovna u webových aplikací to není nic složitého). Nebo předřadit aplikaci aplikační firewall, který bude schopen odfiltrovat nebezpečný nebo podezřelý provoz, nebo naopak rovnou propustí jenom ten bezpečný.

3755

Sítě / Re:ipv6 a blacklisty

« kdy: 20. 09. 2017, 12:28:25 »

No to je neuvěřitelný způsob překroucení věcí. Bílá je černá, černá je bílá, že?

DoS je typ útoku, s cílem znefunkčnit službu, v jehož důsledku (pokud se útok zdaří) pak dochází k nechtěnému odepření služby obecně, protože je "rozbitá". Zablokování konkrétních IP adres je explicitní zákaz (tím pádem chtěný) komunikace s útočníkem, aby mu byl útok na systém znemožněn nebo ztížen. Nazývat tohle DoSem je úplně padlé na hlavu.

Nikoli, DoS útok je útok, který oprávněným uživatelům znemožní službu používat. Např. klasickým DoS útokem je zahlcení linky, která způsobí, že se požadavky oprávněných uživatelů k serveru vůbec nedostanou. Služba v takovém případě není žádným způsobem rozbitá funguje perfektně a požadavky by byla schopná bez problémů vyřizovat – kdyby se k ní dostaly.

Pokud se ten samý uživatel k té samé službě opět nedostane, akorát příčinou není zahlcená linka, ale blokování na firewallu, které vyvolal útočník, je to úplně ten samý případ. Opět je to nechtěné odepření služby, protože toho oprávněného uživatele nikdo blokovat nechtěl – to zablokování vzniklo pouze chybnou konfigurací, kdy byl zablokován veškerý provoz z dané IP adresy, místo aby byl zablokován jen provoz útočníka.

3756

Sítě / Re:ipv6 a blacklisty

« kdy: 20. 09. 2017, 10:01:25 »

Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí.

Proč by to měl botnet nějak koordinovat? Jeden uzel v botnetu vylosuje náhodnou IP adresu a náhodný útok a vyzkouší to. Když se to nepodaří, vylosuje jinou náhodnou IP adresu a jiný útok a znova vyzkouší. Co na tom chcete koordinovat?

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.

Proboha, jak?

DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.

3757

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 09:56:00 »

Racionálních důvodů jsme tu i s dalšími kolegy našli dostatek

Je rozdíl mezi racionálním důvodem a zpětnou racionalizací, u které se při bližším zkoumání ukáže, že to nedává smysl. Většina těch vašich „racionálních důvodů“ je „sice by tenhle útok zastavilo i jiné implementované opatření, které je obecnější, ale proč tam nemít i tuhle zbytečnou obranu“ – což podle mne není „racionální“.

Kromě obecných informací jste ani nenaznačil, jak by mělo vypadat lepší bezpečnostní řešení na typy útoků, o kterých zde byla řeč.

Ale napsal jsem to. Psal jste například o útocích na známé zranitelnosti, tam jsem jako lepší bezpečnostní opatření navrhoval záplatovat software, aby v něm ty známé zranitelnosti nebyly. Pokud vy provozujete software se známými zranitelnostmi a doufáte, že se k nim útočník nedostane, protože jeho adresa bude na blacklistu, podle mého názoru máte velmi nedostatečné zabezpečení. Ale klidně si dál myslete, že vám to stačí.

To, že diskutujete formálně korektně, ale přitom reluktujete cokoliv řešit, se odborně nazývá pasivní agrese.

Já jsem ta řešení navrhoval. Že vy je ignorujete, to není můj problém.

3758

Sítě / Re:ipv6 a blacklisty

« kdy: 20. 09. 2017, 07:14:53 »

Pri jinych na vas utoci blby botnet. Na to druhe muze byt Denohosts nebo Fail2ban dobry.

Opravdu? Když bude útočit botnet, který má tisícovky počítačů a každý z nich vyzkouší třeba jeden typ útoku, zabrání tomu fail2ban? To bych se rád dozvěděl, jak. Konkrétně jak se fail2ban předem dozví o všech těch ostatních počítačích v botnetu.

F2b tak muze treba snizit pravdepodobnost DoSu.

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.

Napriklad vam ve web serveru nebude vyhnivat milion spojeni na timeout.

To už jsme se ale dostali do říše pohádek. Pokud klient jenom otevře spojen, kde je tam ta část „fail“? Navíc fail2ban by v tomto případě pomohlo jedině tehdy, pokud by těch milion spojení bylo z několika málo IP adres. Pokud bude každé spojení z jiné IP adresy, fail2ban si ani neškrtne.

Samozrejme, vy i treba radsi poridite tlustsi web server, napriklad farmu s round robinem a pozlacenymi knofliky, protoze F2b je pod vasi dustojnost.

Na spojení, která vyhnívají na timeout, nepotřebujete tlustší web server nebo farmu serverů, protože to spojení jsou akorát dva záznamy v paměti – jeden v jádru, druhý v aplikaci. A pokud už bych to chtěl blokovat na úrovni firewallu, je to limit na počet otevřených spojení z jedné IP adresy, na to nepotřebuju kanón fail2ban. Vůbec nejde o tom, že by fail2ban byl pod moji důstojnost, jde o to, že ho uvádíte jako řešení problémů, které fail2ban z principu vyřešit nemůže (ale může je nafouknout).

3759

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 06:59:54 »

Až doteď jste diskutoval věcně. Sice jsme se nedobrali žádného racionálního důvodu, proč používáte fail2ban, ale pořád to vypadalo, že si akorát nerozumíme. Škoda, že jste to zakončil komentářem, kde si jen bohapustě vymýšlíte. Zpětně to totiž diskredituje i ty vaše předchozí komentáře, a ukazuje to že vám vůbec nejde o zjištění, zda fail2ban má nebo nemá smysl, ale prostě se jen chcete utvrzovat ve svých názorech, i za cenu, že si celý komentář vymyslíte.

3760

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 22:30:50 »

Kdepak, psal jste něco o tom že tato ochrana dubluje pořádnou ochranu. To jsem schopný přijmout, ale rád bych věděl to Vaše řešení.

Rozhodně jsem nepsal, že to dubluje pořádnou ochranu – dublování by znamenalo, že to má stejnou funkci, ale tohle nemá žádnou funkci. Moje řešení začíná tím, že provozuju aktuální software a snažím se vyhýbat software, který je notoricky znám bezpečnostními problémy. Pro přístup používám takové protokoly, které umožňují zabezpečení (žádné nešifrované FTP) a pro autentizaci takové mechanismy, které není možné napadnou útokem hrubou silou. To pro spoustu služeb stačí. A tam, kde to nestačí, mi rozhodně neprojde odmítat někoho jenom proto, že má IP adresu, která se mi nelíbí.

Pokud je opravdu tak silna, jak si myslite.

Pokud by nebyla, nijak tomu nepomůže, když před ní přidám vrstvu, o které vím, že je slaboučká. Navíc v mém případě je ta silnější vrstva ochrany pravděpodobně lepší, než ta vaše, protože nemarním prostředky na vytváření a údržbu té slabé ochrany.

Samozrejme, uplne kazdou sluzbu muze provozovat NSA. Akorat mi unika, k cemu by jim byla zrovna tato.

Vůbec to nemusí provozovat NSA. Ale může to provozovat někdo, kdo fail2ban považuje za dobrý způsob zabezpečení. Nebo to může někomu prodat. A nebo prostě jen podcení náchylnost k manipulaci s tím seznamem ze strany neověřených klientů.

To ma smysl za predpokladu, ze vite, ze pouzivam Denyhosts a ze vite, z jake adresy se na dany stroj prihlasuju.

Ano, tohle je výborný postup zabezpečení. Předpokládejme, že útočník nic neví, nic neumí, je mírně retardovaný, jenom jde úplnou náhodou kolem a vlastně zaútočil omylem. Proti takovému útočníkovi se dělají bezpečnostní opatření jedna báseň.

Vidim, ze svet je stale jeste v poradku. Pan Jirsak ani po letech neveri, ze odmitnutim komunikovat se smradlavym pochcanym bezdomovcem neprichazi o lukrativni vydelky.

Vy budete jednou velmi nemile překvapen, až se dozvíte o existenci dynamicky přidělovaných adres nebo NATu.

Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.

Buďte rád, že máte tak disciplinované útočníky, že nejdřív zaútočí na sondu, a pak ze stejné adresy na chráněnou síť.

drtivá většina útoků jsou již známé neplechy

Nebylo by lepší bránit se těm známým neplechám přímo, ideálně instalací záplaty, než se spoléhat na to, že útočník bude disciplinovaně útočit tak, aby nejprve spadl na blacklist, a teprve pak zkusí doopravdy zaútočit?

Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.

To by mne zajímalo, zda si opravdu můžete dovolit odstřihnout od vaší služby třeba celou univerzitu jenom proto, že se někdo z její sítě pokusil třikrát přihlásit špatným heslem přes SSH. O tom, že by nějaký systém byl schopen ustát libovolný provoz, tu nebyla řeč. Nicméně útočníci se málokdy snaží službu jenom nadměrně vytěžovat, pokud postupují tímhle způsobem, obvykle se snaží, aby služba přestala být poskytována oprávněným uživatelům. Fail2ban je z tohoto pohledu velmi efektivní nástroj, bohužel z pohledu útočníka. Nemusí se pokoušet zahltit linku nebo cílovou aplikaci, stačí podstatně menší traffic, a cíl už se znepřístupní sám.

Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny

Já v bezpečnosti na „mohu“ nehraju. Buď jsem udělal nějaká opatření pro to, aby se to stalo, nebo se to nestane. Metodou „mohu“ lze obhájit třeba přístupové heslo „a“, protože se může stát, že takové heslo zabrání útoku – protože útočník nebude tak slabé heslo očekávat a nevyzkouší ho.

nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.

To klidně dělat můžete, ale nic toho není blacklist IP adres.

3761

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 16:55:46 »

Nikde netvrdim, ze to ma byt vase jedine zabezpeceni. Je to ale dalsi vrstva, ktera brani vselijakemu opruzu a muze zaprani uspesnemu utoku, kdyby se, jak uz zmineno, treba c nejake sluzbe vyskytla jeste neopravena chyba.

O dalších vrstvách zabezpečení už jsem četl v diskusích mnohokrát, ale nikdy jsem nepochopil, k čemu je dobrá slaboučká vrstva zabezpečení, když za ní je silná vrstva zabezpečení.

Pokud bude v nějaké službě ještě neopravená chyba, a někdo ji bude chtít zneužít, udělá to daleko dřív, než fail2ban zjistí, že se něco děje.

To stoji v dokumentaci cerne na bilem.

Nikoli, v dokumentaci je ta deklarace, ne to, co se děje doopravdy.

Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad.

Praktický příklad? Přesvědčím určitý počet klientů, ať nabonzují IP adresu, ze které server spravujete. Vy se pak na server nemůžete dostat, budete řešit, jak to obejít – a to je myslím ideální chvíle na to na váš server doopravdy zaútočit.

Na to, abych dosahl DoSu, musel bych utocit z vasi ip na vas server nebo na dostatecne mnozstvi jinych, ktere maji Denyhosts. Na to bych musel mit kontrolu nad vasim strojem a v tom pripade byste mel byt rad, ze mate ten pristup zablokovany.

To ovšem děláte zásadní chybu, že předpokládáte, že do Denyhosts přispívají jen samí hodní.

3762

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 16:48:14 »

K tomu, že synchronizovaný (= koordinovaný) útok z více IP adres není vůbec běžná praktika, aspoň prozatím. Není účelem riziko eliminovat, ale mitigovat.

Já „zabezpečení“ způsobem, kdy doufám, že útočník nebude útočit z více adres, nepovažuju za dostatečné zabezpečení.

Souhlasím, ale zatím jste nenapsal "to jedno" řešení, které by bylo dublované fail2banem a blacklistem.

Napsal – místo toho nedělat nic. Výsledek je v mém případě stejný. Pokud fail2ban je vaše jediná obrana, pak chápu, že to pro vás je lepší než nic, ale pro mne to není zabezpečení.

Mně jo. Botnety to využívají, a když jim dáte překážku, jdou o dům dál. Podobně "zbytečným" by se dal nazvat například greylisting na SMTP, který nezablokuje vůbec nic. Přesto v praxi dosahuje dobrých výsledků.

Jak jsem psal, mně skenování nebo neúspěšné pokusy o přihlášení nevadí a nevím, proč by mi měly vadit. Greylisting za zbytečný považuju, a není pravda, že nezablokuje nic, a i když nezablokuje, může doručení e-mailu výrazně zdržet.

F2b mi zvyšuje šanci, že období do fixnutí neodskáču průšvihem. Někdy není možné fix aplikovat bez velkých úprav / ověřování aplikací.

Myslím, že to zvyšování šance je spíš zbožným přáním než realitou. Ten případ, kdy to pomůže, má velkou spoustu předpokladů, takže ve výsledku je pravděpodobnost takového útoku asi tak 0,0000001 %.

Nemusím usnadňovat práci tomu (robotu), který hledá slabiny. Naopak mi přijde zajímavé ho co nejvíc zpomalit v tarpitu. V tarpitu mě to nestojí už ani cyklus CPU navíc, a mám od blbečka skenovacího pokoj.

Skenování portů robotovi práci nijak neusnadňuje. A zpomalovat ho není mým cílem, mým cílem je, aby žádné slabiny nenašel – bez ohledu na to, jestli je bude hledat z jednoho počítače nebo z botnetu.

Pokud mi ve f2b překročí práh po vyhodnocení vícero logů, tak tím zkoncentruji varování z více zdrojů do jednoho výsledku. To je velmi cenná informace.

Jenže to nejprve musíte zjistit, že útočník hledá nějakou chybu, musíte to zalogovat. A útočník musí z jedné adresy zkoušet větší množství zranitelností – tedy zkouší už nějakou dobu známé zranitelnosti, na které už existují záplaty. Opravdu se takových zranitelností máte důvod obávat, a opravdu se před nimi bráníte jenom pomocí fail2ban?

Pokud bude mít útočník nějakou novou zranitelnost, o které se ještě neví nebo která je čerstvá a dá se předpokládat, že spousta serverů ještě nebude zazáplatovaných, fail2ban vám nijak nepomůže, protože útočník samozřejmě nebude nejprve váš server očkovat známými zranitelnostmi, aby se aktivoval fail2ban, ale zkusí tu zranitelnost rovnou.

Zde jako příklad uvedu mod_security / atomic rules / CWAF / OSWAP, které mají více či méně generická pravidla, která dokážou závadné chování odhalit. Jeden divný požadavek je legitimní. 100 takových požadavků už není.

Na DoS útocích je z pohledu útočníků pěkné to, že často nepotřebujete žádné divné požadavky – DoS se dá velmi často (třeba u webových serverů) zařídit požadavky, které jsou úplně normální.

velkou aplikací, ani zatíženým serverem

Myslím, že předpokládat u velké aplikace nebo zatíženého serveru to, že útočník má k dispozici pouze jedinou IP adresu, je dost odvážný předpoklad. (Odvážný ve stejném smyslu jako v tom vtipu se slepým koněm a zdí.)

Přesvědčuje mě o tom hlavně to, že se vyhýbáte odpovědi na otázku, jak byste to řešil Vy.

Už jsem vám to napsal několikrát, že fail2ban podle mne nemá žádný přínos, takže stejného výsledku dosáhnu i tím, když neudělám nic. Pokud je to pro vás nepředstavitelné, myslete si třeba, že rizika mitiguji tím, že serverům dávám magická ochranná jména.

3763

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 15:33:02 »

Je rozdil mezi tim, jestli utocnik muze na bruteforce zkouset 700 milionu pokusu nebo jen tri.

Ano, to by užitečné v některých případech mohlo být. Problém je, že tohle fail2ban nedokáže zařídit.

Krome toho na Denyhosts je pekne to, ze ma synchronizovanou databazi, kterou si vase instance stahne a mnoho utoku tak je zastaveno jeste predtim, nez u vas vypuknou.

Tohle ovšem není fail2ban. Ale OK, je to blacklist, který třeba někdo může využít. Já pro něj využití nemám, protože nechci bezpečnost založit jenom na to, že útočník bude náhodou na nějakém blacklistu. Pokud to někomu stačí, je to jeho věc – já něco takového nenazývám zabezpečení. A vzhledem k tomu, že vůbec netuším, jak příslušný synchronizovaný blacklist vzniká (nezáleží na tom, co deklaruje, ale jaká je skutečnost), bál bych se toho jako prostředku, jak způsobit DoS.

Podle vasi logiky by bylo mozne zrusit ochranu PINu na bankovnich kartach omezenim na tri pokusy.

Nikoli, právě naopak. Moje logika je, že omezení PINu na tři pokusy je rozumné bezpečnostní opatření, protože to znemožňuje útok jakémukoli útočníkovi. To podle vaší logiky by bylo možné zrušit ochranu PINu na tři pokusy, a místo toho  byste zavedli ochranu, kdy útočník musí nejprve zadat své jméno a to porovnáte s blacklistem lidí, kteří už někdy zneužili PIN k cizí kartě.

To je právě ten problém blacklistů – že je útočník může snadno obejít, takže stejně musíte mít ještě opravdovou ochranu za blacklistem. A když už tam máte opravdovou ochranu, která dokáže odchytit všechny útoky, které odchytí blacklist, k čemu je tam ten blacklist?

3764

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 13:02:50 »

Tak to bych se i hádal. Spousta útoků zkouší různé metody průniku, dokud některá nevyjde. […] Nevím jak Vy, ale tomu říkám zastavit to na počátku.

Já bych neříkal „zastavit útok na počátku“ tomu, když útok proběhne a zastaví ho (snad) jiný mechanismus. Ale dobře, rozumím tomu, co tím myslíte – v nějaké sérii útoků proběhne jenom ten první a případné další útoky už to zastaví. Já bych to nazval třeba „krátce po začátku“, ale je to jen detail.

A to je právě ta doba, kdy můžete útok detekovat a zastavit jej dřív, než je úspěšný.

Pak ale máte problém, pokud útočník použije jiné pořadí a tím úspěšným útokem začne, nebo povede každý útok z jiné adresy. Předpokládám, že napíšete, že na to máte jiná opatření. Ale k čemu je tam potom ten fail2ban?

Co se stane, když fail2ban nebudete používat? Jaké negativní dopady na zabezpečení to bude mít?

Trochu demagogicky položená otázka.

Co je na tom demagogického? O tom, zda je nějaké opatření zbytečné nebo nezbytné, rozhoduje právě to, zda se něco změní, když ho vynechám. Pokud ho vynechám a nezmění se vůbec nic, k čemu tam takové opatření je? Samozřejmě je možné, že se některá opatření dublují navzájem, pak můžu vynechat všechna až na jedno, a je logické ponechat si to nejlevnější řešení.

Např. scany hosta, pokusy o SSH přihlášení, ..., které můžete zastavit s prakticky nulovou režií v iptables (na fbsd v pf) necháváte dojít až do aplikace (sshd, httpd, ...).

Mně scany hosta ani pokusy o SSH přihlášení nevadí, nevím, proč bych je měl zastavovat.

V samotné aplikaci může být díra, kterou nemáte fixovanou (zde asi můžeme vést úvahu o tom proč, ale pro náš účel to není důležité, důležité je, že takové situace existují), nebo takovou aplikaci prostě zahltíte.

Pokud takovou aplikaci nemám fixnutou, znamená to, ji útočník napadne snadno z jiné IP adresy, a nebo (což je ještě pravděpodobnější) tak, že prostě útok na novou známou chybu zkusí jako první. Takže ta energie, která se věnuje do fail2ban, by se raději měla investovat do fixnutí té aplikace, které tomu útoku doopravdy zabrání, na rozdíl od fial2ban.

Jen samotná SSH session, než se zahájí a dojde k pokusu o auth vydá spoustu zbytečných CPU cyklů.

No, nevím, jestli to parsování logů nespálí daleko víc procesorového času.

Tak jinak: nenapsal jste jediný způsob ochrany, která to nahradí.

Já jsem zatím nezaznamenal něco, proč by mělo použití fail2ban nějaký smysl. Takže podle mne „nic“ je dostatečná náhrada.

před skenováním portů

Nijak. Mělo by mi skenování portů nějak vadit?

před systematickým hledáním děr

Před tím fail2ban nijak nechrání.

před pokusy o DoS na servery

Ani před tím fail2ban nechrání, většina DoS útoků neobsahuje tu složku „fail“, ale jsou to zcela legitimní požadavky. S primitivním útokem by si měla aplikace umět poradit sama, přičemž má k dispozici mnohem víc informací, než je zdrojová IP adresa, takže může reagovat i na jiné typy úroků.

Je také možné, že používáte nějaké jiné, elegantní řešení, které tyto metody plně nahradí.

Jak jsem psal výše, fail2ban lze podle mne plně nahradit „ničím“.

3765

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 11:02:48 »

Musíte uvažovat, že každý typ ochrany má svůj přínos

Ne, nemá. Určitě by se našel někdo, kdo bude za ochranu serveru považovat zaříkávání nebo jeho zapnutí v konjunkci Jupitera se Saturnem, ale reálný přínos takových ochran je nulový.

Když si vezmu přínosy (zastavení útoku na počátku)

Blacklist rozhodně nezastaví útok na počátku. Jak by se útočník objevil na blacklistu, když ještě neútočil?

cenu (velmi nízká - jsou to dnes už de facto samočinné systémy), pak mi black listy i fail2ban smysl dávají.

U zbytečné obrany je i velmi nízká cena pořád zbytečně vysoká. Neznám žádný argument, který by ukazoval na nezbytnost fail2ban. Co se stane, když fail2ban nebudete používat? Jaké negativní dopady na zabezpečení to bude mít?

Tady nesouhlasím. Velká část útoků probíhá ze stejné IP. Máte naprostou pravdu, že to obejít lze. Ale nikdo netvrdí, že je to jediná a 100% ochrana. Je to jen střípek ochrany bránící efektivně proti určitým typům útoků. Jsou místa, kde mám např. nastavené blacklistování i na několik dní, pokud s jistotou rozpoznám port scan. TCP spojení pak i tarpituji. Zjednodušeně řečeno, ochráním tím prakticky bezpracně síť zejména od DoS útoků, neochráním ji od DDoS.

Nenapsal jste jediný důvod, proč fail2ban použít. To, že je to střípek ochrany, neznamená vůbec nic – podstatné je, co by se stalo, kdyby tam ten střípek nebyl. Pokud nic, pak je tam ten střípek zbytečný a jakákoli cena vyšší než nulová je zbytečným plýtváním.

Vzpominam, jak mi v dobach, kdy jsem jeste ssh mel na standardnim portu, z jedne ip adresy prislo pres 10000 pokusu a prihlaseni behem kratke doby. Pak jsem nasadil denyhosts a po tretim pokusu meli soudruzi utrum, akorat bobtnaly logy. Abych se v tom nemusel hrabat, zmenil jsem port a bylo ticho po pesine.

Opět jste jen popsal, že fail2ban něco dělá – ale z toho, co jste napsal, vůbec neplyne, jestli to, co dělá, je nějak užitečné. Myslím, že je docela snadný způsob, jak zjistit, jestli ta „obrana“ k něčemu je, je uvažovat o tom, co by se stalo, kdybyste jí vypnul.

Jirsák zase perlí. Blacklisty mají své místo. Praxe jasně ukazuje, že botnety žijí dlouho (klidně i roky) a proto má smysl informace z blacklistů používat. Navíc je to poměrně levné z hlediska počítačových zdrojů.

Ani vy jste nenapsal žádný důvod, proč blacklisty používat. To, že informace z blacklistů existují a můžete je použít ještě neznamená, že je rozumné je používat. Píšete, že je to levné – tedy nějaké nenulové náklady existují. Takže oproti těm nákladům by měl existovat také nějaký přínos. Namalovat na šasi serveru magický ochranný znak je také levné, taky to jde udělat, ale to ještě neznamená, že to má smysl – když totiž na ten server znak nenamalujete, z hlediska bezpečnosti se situace nijak nezhorší.