groupwise 2014 + подбор паролей

Обсуждение технических вопросов по продуктам Novell

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 17 окт 2018, 16:14

Джентльмены, а как вы бооетесь с автоподбором паролей по smtp ?
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение Сергей Дубров » 18 окт 2018, 07:02

Dimerson писал(а):Джентльмены, а как вы бооетесь с автоподбором паролей по smtp ?

Имеется в виду submission? Fail2ban - наше фсё :D
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 18 окт 2018, 07:48

то есть ставим перед GWIA некий smtp daemon (не нагруженный ничем, кроме прокидывания входящих SMTP сессий на GWIA, причем если они для ходящнй почты для user@my.domain то пропускаем молча, а если пошел smtp auth то только тогда работает злобный fail2ban ) на входе перед GWIA и вешаем на него fail2ban ?

Я так понимаю что только сторонними средствами ибо читал https://support.microfocus.com/kb/doc.php?id=7021410
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение Сергей Дубров » 18 окт 2018, 09:24

Dimerson писал(а):то есть ставим перед GWIA некий smtp daemon (не нагруженный ничем, кроме прокидывания входящих SMTP сессий на GWIA, причем если они для ходящнй почты для user@my.domain то пропускаем молча, а если пошел smtp auth то только тогда работает злобный fail2ban ) на входе перед GWIA и вешаем на него fail2ban ?

Я так понимаю что только сторонними средствами ибо читал https://support.microfocus.com/kb/doc.php?id=7021410

Не, не так: fail2ban мониторит логи и по появлению там нехороших записей - банит средствами iptables, чистый IDS в этом смысле. Если трафик транзитный, то он будет зашифрован (надеюсь, ты работаешь по TLS - или по 465-му или со STARTTLS по 587-му) и ты ничего не обнаружишь. Мониторить нужно логи GWIA в точке терминирования SMTP соединения. Вот пример фильтра для submission/smtps для postfix-а (в CentOS мониторится /var/log/maillog):
Код: Выделить всё
# Fail2Ban filter for postfix authentication failures
#
[INCLUDES]

before = common.conf

[Definition]

_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$
            ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication aborted
            lost connection after (AUTH|UNKNOWN|EHLO) from (.*)\[<HOST>\]
            timeout after (AUTH|UNKNOWN|EHLO) from (.*)\[<HOST>\]

ignoreregex = authentication failed: Connection lost to authentication server$

[Init]

journalmatch = _SYSTEMD_UNIT=postfix.service


# Author: Yaroslav Halchenko



Ну и пример "тюремных" настроек под этот фильтр:
Код: Выделить всё
# Postfix
[postfix-sasl]
enabled = true
port     = smtp,465,submission
logpath  = /var/log/maillog
filter   = postfix-sasl
#action = %(action_mwl)s
action   = iptables-multiport[name=postfix-sasl, port="smtp,465,submission", protocol=tcp]
##          sendmail-whois[name=postfix-sasl, dest=myname@mydomain.com, sender=root@mydomain.com]
bantime  = 7200
findtime  = 1200
maxretry = 3


Вот прямо сейчас у меня наблюдается три забаненных ip-шника, которые попали под фильтр postfix-sasl:
Код: Выделить всё
# iptables -L -n --line-numbers
...
Chain f2b-postfix-sasl (1 references)
num  target     prot opt source               destination
1    DROP       all  --  217.217.179.17       0.0.0.0/0
2    DROP       all  --  14.228.170.249       0.0.0.0/0
3    DROP       all  --  114.218.138.97       0.0.0.0/0
4    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
...
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 18 окт 2018, 09:28

очевидно не сразу совет до меня дошел - pop3s и imaps активны уже давно.
отказаться в пользу других решений не получится, не от меня это зависит.

совет про "аккуратнее с паролями" вообще не втему - пароли то как раз устойчивые, но учетка блокируется от попытки их перебрать.

upd: заблокировал pop3 и imap всем, кроме ряда юзеров. Подбор перестал блокировать учетки с запрещенными pop3 и imap , хоть кто то названивать мне перестал.
Последний раз редактировалось sovchik 19 окт 2018, 17:43, всего редактировалось 1 раз.
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 18 окт 2018, 09:46

Мониторить лог постофиса на предмет неуспешных авторизаций через GWIA ... как то все это не так ...
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение Сергей Дубров » 18 окт 2018, 11:22

Dimerson писал(а):Мониторить лог постофиса на предмет неуспешных авторизаций через GWIA ... как то все это не так ...

Естественно, что нужно мониторить лог GWIA. Но для него готовых фильтров fail2ban мне не попадалось... На самом деле по образцу и подобию такой фильтр пишется на раз, было бы только понятно, что именно надо выловить в логе, какие regexp-ы описывают событие неуспешной авторизации.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 19 окт 2018, 17:41

Сергей Дубров писал(а):... На самом деле по образцу и подобию такой фильтр пишется на раз, было бы только понятно, что именно надо выловить в логе, какие regexp-ы описывают событие неуспешной авторизации.

ну вот и я как то на этом этапе "застрял".
Последний раз редактировалось sovchik 19 окт 2018, 17:54, всего редактировалось 1 раз.
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 19 окт 2018, 17:47

Там не было опции для gwia для разрешения ?
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 19 окт 2018, 17:55

Dimerson писал(а):Там не было опции для gwia для разрешения ?

удалил вопрос уже - галки на allow forward не стояло в gwia группе . Сам дурак в общем :)
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 22 окт 2018, 07:30

Сдается мне что это импоссибле. Иначе давно бы уже напилили обработчик для fail2ban + gwia
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение skoltogyan » 28 окт 2018, 15:04

skoltogyan
 
Сообщения: 1940
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 31 окт 2018, 10:41

Поглядел - парсер gwia лога надо переделывать.
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение skoltogyan » 31 окт 2018, 22:07

а какие именно переделки потребуются ?
skoltogyan
 
Сообщения: 1940
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 01 ноя 2018, 05:45

регэксп там чувствительный к версии GWIA .
На моей версии формат строк другой - не парсит нормально.

Опять жe. За месяц количество правил попадающих под DROP будет гигантским.
То есть надо пилить свой велосипед ака fail2ban.

Хотя правленный вариант исходного скрипта у меня работает.
3 адреса в дропе из текущего лога GWIA. Suse_firewall не использую. Там где надо - fwbuilder на SLES.

Посему мне проще сделать
iptables -F

а потом залить то что попадает под DROP.

Тем не менее вот они - наши герои :

0 0 DROP tcp -- * * 49.75.214.142 0.0.0.0/0 tcp dpt:25
171 10260 DROP tcp -- * * 185.222.209.83 0.0.0.0/0 tcp dpt:25
250 15000 DROP tcp -- * * 194.53.142.231 0.0.0.0/0 tcp dpt:25

второй и третий адреса интенсивно трудятся.
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Пред.След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2