Blokování spojení po neúšpěšných pokusech

vanicekp2 · « **kdy:** 05. 04. 2023, 20:54:24 »

Zdravím,
omlouvám se, vím že bych si to měl najít, ale zeptám se, neexistuje nějaký tool, který by blokoval síťové služby na základě počtu pokusů z jedné IP o navázání spojení se službou (četnosti) něco jeko dennyhosts pro SSH ale nezávislé na službě?
Aby to koukalo do iptables, nebo jinak monitorovalo síťový provoz a přitom to nebylo extrémě náročné na zdroje.

Dik

Reklama

Petr Krčmář · « **Odpověď #1 kdy:** 05. 04. 2023, 21:42:30 »

Přesně tohle se jmenuje fail2ban, kouká to do logů a po neúspěšných pokusech blokuje ve firewallu.

Filip Jirsák · « **Odpověď #2 kdy:** 05. 04. 2023, 21:43:48 »

Existuje, jmenuje se to fail2ban, funguje to na základě monitorování logů (takže budete potřebovat ty pokusy zapisovat do logu), a často to má větší režii, než odmítat ta spojení v cílové aplikaci.

František Ryšánek · « **Odpověď #3 kdy:** 05. 04. 2023, 22:02:12 »

Citace: Filip Jirsák 05. 04. 2023, 21:43:48

Existuje, jmenuje se to fail2ban, funguje to na základě monitorování logů (takže budete potřebovat ty pokusy zapisovat do logu), a často to má větší režii, než odmítat ta spojení v cílové aplikaci.

...tady bych si dovolil vlažně polemizovat, že pokud sama aplikace neumí "třikrát a dost", ale každému příchozímu si řekne o login a heslo, tak je fai2ban přínosem v rovině bezpečnosti. Omezí hádání hesel hrubou silou. Že sám představuje nějakou zátěž na systém, o tom žádná.

Filip Jirsák · « **Odpověď #4 kdy:** 05. 04. 2023, 22:30:35 »

Citace: František Ryšánek 05. 04. 2023, 22:02:12

...tady bych si dovolil vlažně polemizovat, že pokud sama aplikace neumí "třikrát a dost", ale každému příchozímu si řekne o login a heslo, tak je fai2ban přínosem v rovině bezpečnosti. Omezí hádání hesel hrubou silou. Že sám představuje nějakou zátěž na systém, o tom žádná.

Dovolil bych si připomenout, že jsem napsal často, ne vždy. To za prvé. Za druhé, o žádném přihlašování jménem a heslem vůbec nebyla řeč – aplikace, na kterou míří spojení, vůbec nemusí žádné jméno a heslo podporovat, může to být veřejný HTTP server, SMTP server apod. Omezovat hádání hesel zrovna tímhle způsobem bych považoval až za úplně krajní možnost, pokud nic jiného nepůjde udělat. Protože to má spoustu nevýhod a je to velmi náchylné k tomu vyrobit si sám na sebe DoS.

Reklama

František Ryšánek · « **Odpověď #5 kdy:** 05. 04. 2023, 23:05:14 »

Citace: Filip Jirsák 05. 04. 2023, 22:30:35

Za druhé, o žádném přihlašování jménem a heslem vůbec nebyla řeč

Ajo, máte pravdu! :-O To mám z toho, že po nocích klábosím ve fórech.

Takže ohledně rate-limitu na pokusy o spojení per zdrojová IP adresa jsem taky něco našel: 1, 2. Jinak nějaké příklady na tohle zadání si pamatuju z nějakého dávného IPtables-howto.

Blokování spojení po neúšpěšných pokusech

vanicekp2

Blokování spojení po neúšpěšných pokusech

Reklama

Petr Krčmář

Re:Blokování spojení

Filip Jirsák

Re:Blokování spojení

František Ryšánek

Re:Blokování spojení

Filip Jirsák

Re:Blokování spojení

Reklama

František Ryšánek

Re:Blokování spojení