Определение сканирования портов, брутфорса и т.д. из локальной сети

0

1

Доброго дня.

Есть локальная сеть с доступом в интернет. Иногда пользователи локальной сети всякое странное делают, то порты сканируют у интернет-ресурсов, то брутфорсят и прочее.

Как на гейте с помощью iptables такую активность диагностировать ? Чтобы потом оповещение через nagios получить об этом.

Ссылка

←	ad+squid не удается авторизоваться

mutt: Segmentation fault (core dumped)

→

snort

uspen ★★★★★
(28.12.13 10:36:16 MSK)

Ответ на: комментарий от uspen 28.12.13 10:36:16 MSK

Спасибо. Без snort, с iptables как?

Zapekankin
(28.12.13 10:41:21 MSK) автор топика

Ответ на: комментарий от Zapekankin 28.12.13 10:41:21 MSK

Как без отвертки одной дрелью закрутить шуруп.

Вообще - гуглить по поводу iptables log и писать свой снорт.

kombrig ★★★
(28.12.13 10:45:16 MSK)
Последнее исправление: kombrig 28.12.13 10:46:50 MSK (всего исправлений: 1)

Ответ на: комментарий от kombrig 28.12.13 10:45:16 MSK

Я имел ввиду, что должно быть что-то с --limit --limit-burst и --hitcount... И просто логирование такого события сделать.

Zapekankin
(28.12.13 12:24:04 MSK) автор топика

Ответ на: комментарий от Zapekankin 28.12.13 12:24:04 MSK

Ну тогда перед дропом ставишь правило log

kombrig ★★★
(28.12.13 12:27:10 MSK)

Ответ на: комментарий от kombrig 28.12.13 12:27:10 MSK

Это я понимаю. Просто не знаю как это применить к исходящему брутфорсу и сканированию портов. Для FORWARD, но какие параметры должны быть (hitcount/limit/...), чтобы определить, что это аномальная активность, а не обычные действия.

Zapekankin
(28.12.13 13:16:00 MSK) автор топика

Ответ на: комментарий от Zapekankin 28.12.13 13:16:00 MSK

читай правила снорта. а еще есть конвертер правил снорта в iptables где и учтены все это лимиты

uspen ★★★★★
(28.12.13 13:30:15 MSK)

Ссылка

сканирование портов: iptables -m psd (по дефолту нету)
по поводу брута: тут все зависит от сервиса
если ссш, можно сделать лимит подключений в час с одного ип.
или fail2ban заюзать.

kam ★★
(28.12.13 14:31:47 MSK)

Ответ на: комментарий от kam 28.12.13 14:31:47 MSK

Спасибо. С ssh и rdp так и сделаю. При брутфорсе Wordpress и Joomla по string тогда можно будет логировать.

А как залогировать активности при исходящих пакетах больше 100 в секунду? Например для UDP. Я попробовал даже 500/s ставить, но видимо что-то делаю не так.

iptables -A FORWARD -p udp -m limit --limit 500/s -j RETURN
iptables -A FORWARD -p udp -m state --state NEW -j LOG --log-prefix "iptables UDP case: " --log-level 7

Потому что после этих правил все равно вижу в syslog «iptables UDP case», но столько пакетов не ходит. Скорее всего я неправильно правило составил.

Zapekankin
(28.12.13 15:25:07 MSK) автор топика

Ответ на: комментарий от Zapekankin 28.12.13 15:25:07 MSK

Зачем RETURN в FORWARD? «Выше» FORWARD ничего нет, пакеты возвращать некуда. Не? Скорее всего, оно их тупо ACCEPT'ит. Хотя хз, проверять лень. Вооюще, man говорит:

RETURN means stop traversing this chain and resume at the next rule in the previous (calling) chain. If the end of a built-in chain is reached or a rule in a built-in chain with target RETURN is matched, the target specified by the chain policy determines the fate of the packet.

Если policy - ACCEPT, то правило их тупо пропускает. А второе правило у тебя вообще логгирует только свежеинициированные соединения. Со stateful файрволом вообще не получится считать пакеты, ибо он их (в установленных соединениях) сразу ACCEPT'ит. Можно извратиться со stateless, но это криво by design. Юзай snort, короче.

nbw ★★★
(28.12.13 15:48:19 MSK)
Последнее исправление: nbw 28.12.13 15:48:54 MSK (всего исправлений: 1)

Ответ на: комментарий от nbw 28.12.13 15:48:19 MSK

Спасибо, поправил правило. Да, в FORWARD не проходит это. В OUTPUT проходит... Только в OUTPUT не видно внутренний адрес клиента...

Zapekankin
(28.12.13 16:17:07 MSK) автор топика

Ответ на: комментарий от Zapekankin 28.12.13 16:17:07 MSK

iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 200/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP

Zapekankin
(28.12.13 16:19:48 MSK) автор топика

Ссылка

Ответ на: комментарий от nbw 28.12.13 15:48:19 MSK

snort - userspace решение, не хочется машинку нагружать этим.

Zapekankin
(28.12.13 16:22:05 MSK) автор топика

Ответ на: комментарий от Zapekankin 28.12.13 16:17:07 MSK

Норкоман? В OUTPUT попадают только пакеты, исходящие из сущности самого шлюза. Всё, что прогоняется насквозь - FORWARD.

nbw ★★★
(28.12.13 21:23:19 MSK)

Ответ на: комментарий от Zapekankin 28.12.13 16:22:05 MSK

не хочется машинку нагружать этим.

Если не 486-й - не нагрузишь :D

nbw ★★★
(28.12.13 21:24:11 MSK)

Ссылка

Ответ на: комментарий от nbw 28.12.13 21:23:19 MSK

Точно н0ркоман похоже... Да, это не вариант совсем, это только для диагностики аномального UDP-траффика через шлюз...

Еще один страх, так это snort настраивать как еще одну сущность... :( Как-то вроде и надо, но совсем не хочется.

Я просто с исходящим брутфорсом сервисов (ssh, rdp) и брутфорсом wordpress/joomla разобрался. Со сканом портов тоже есть идея.

Но вот с UDP флудом как быть? Если с FORWARD не сработает...

Zapekankin
(29.12.13 02:04:07 MSK) автор топика

Ссылка

Хренью страдаешь. FORWARD полиси по умолчанию в DROP, затем правило для пакетов с LAN-интерфейса в REJECT, и натянуть squid. Ходоков приветствовать вопросом «А тебе зачем?»

~~berrywizard~~ ★★★★★
(01.01.14 23:12:22 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ad+squid не удается авторизоваться

Admin

mutt: Segmentation fault (core dumped)

→

Похожие темы