Blokování spojení po neúšpěšných pokusech

Blokování spojení po neúšpěšných pokusech
« kdy: 05. 04. 2023, 20:54:24 »
Zdravím,
omlouvám se, vím že bych si to měl najít, ale zeptám se, neexistuje nějaký tool, který by blokoval síťové služby na základě počtu pokusů z jedné IP o navázání spojení se službou (četnosti) něco jeko dennyhosts pro SSH ale nezávislé na službě?
Aby to koukalo do iptables, nebo jinak monitorovalo síťový provoz a přitom to nebylo extrémě náročné na zdroje.

Dik
« Poslední změna: 05. 04. 2023, 21:42:49 od Petr Krčmář »


Re:Blokování spojení
« Odpověď #1 kdy: 05. 04. 2023, 21:42:30 »
Přesně tohle se jmenuje fail2ban, kouká to do logů a po neúspěšných pokusech blokuje ve firewallu.

Re:Blokování spojení
« Odpověď #2 kdy: 05. 04. 2023, 21:43:48 »
Existuje, jmenuje se to fail2ban, funguje to na základě monitorování logů (takže budete potřebovat ty pokusy zapisovat do logu), a často to má větší režii, než odmítat ta spojení v cílové aplikaci.

Re:Blokování spojení
« Odpověď #3 kdy: 05. 04. 2023, 22:02:12 »
Existuje, jmenuje se to fail2ban, funguje to na základě monitorování logů (takže budete potřebovat ty pokusy zapisovat do logu), a často to má větší režii, než odmítat ta spojení v cílové aplikaci.
...tady bych si dovolil vlažně polemizovat, že pokud sama aplikace neumí "třikrát a dost", ale každému příchozímu si řekne o login a heslo, tak je fai2ban přínosem v rovině bezpečnosti. Omezí hádání hesel hrubou silou. Že sám představuje nějakou zátěž na systém, o tom žádná.

Re:Blokování spojení
« Odpověď #4 kdy: 05. 04. 2023, 22:30:35 »
...tady bych si dovolil vlažně polemizovat, že pokud sama aplikace neumí "třikrát a dost", ale každému příchozímu si řekne o login a heslo, tak je fai2ban přínosem v rovině bezpečnosti. Omezí hádání hesel hrubou silou. Že sám představuje nějakou zátěž na systém, o tom žádná.
Dovolil bych si připomenout, že jsem napsal často, ne vždy. To za prvé. Za druhé, o žádném přihlašování jménem a heslem vůbec nebyla řeč – aplikace, na kterou míří spojení, vůbec nemusí žádné jméno a heslo podporovat, může to být veřejný HTTP server, SMTP server apod. Omezovat hádání hesel zrovna tímhle způsobem bych považoval až za úplně krajní možnost, pokud nic jiného nepůjde udělat. Protože to má spoustu nevýhod a je to velmi náchylné k tomu vyrobit si sám na sebe DoS.


Re:Blokování spojení
« Odpověď #5 kdy: 05. 04. 2023, 23:05:14 »
Za druhé, o žádném přihlašování jménem a heslem vůbec nebyla řeč
Ajo, máte pravdu! :-O To mám z toho, že po nocích klábosím ve fórech.

Takže ohledně rate-limitu na pokusy o spojení per zdrojová IP adresa jsem taky něco našel: 1, 2. Jinak nějaké příklady na tohle zadání si pamatuju z nějakého dávného IPtables-howto.