Страница 2 из 3

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 17 окт 2018, 16:14
Dimerson
Джентльмены, а как вы бооетесь с автоподбором паролей по smtp ?

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 18 окт 2018, 07:02
Сергей Дубров
Dimerson писал(а):Джентльмены, а как вы бооетесь с автоподбором паролей по smtp ?

Имеется в виду submission? Fail2ban - наше фсё :D

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 18 окт 2018, 07:48
Dimerson
то есть ставим перед GWIA некий smtp daemon (не нагруженный ничем, кроме прокидывания входящих SMTP сессий на GWIA, причем если они для ходящнй почты для user@my.domain то пропускаем молча, а если пошел smtp auth то только тогда работает злобный fail2ban ) на входе перед GWIA и вешаем на него fail2ban ?

Я так понимаю что только сторонними средствами ибо читал https://support.microfocus.com/kb/doc.php?id=7021410

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 18 окт 2018, 09:24
Сергей Дубров
Dimerson писал(а):то есть ставим перед GWIA некий smtp daemon (не нагруженный ничем, кроме прокидывания входящих SMTP сессий на GWIA, причем если они для ходящнй почты для user@my.domain то пропускаем молча, а если пошел smtp auth то только тогда работает злобный fail2ban ) на входе перед GWIA и вешаем на него fail2ban ?

Я так понимаю что только сторонними средствами ибо читал https://support.microfocus.com/kb/doc.php?id=7021410

Не, не так: fail2ban мониторит логи и по появлению там нехороших записей - банит средствами iptables, чистый IDS в этом смысле. Если трафик транзитный, то он будет зашифрован (надеюсь, ты работаешь по TLS - или по 465-му или со STARTTLS по 587-му) и ты ничего не обнаружишь. Мониторить нужно логи GWIA в точке терминирования SMTP соединения. Вот пример фильтра для submission/smtps для postfix-а (в CentOS мониторится /var/log/maillog):
Код: Выделить всё
# Fail2Ban filter for postfix authentication failures
#
[INCLUDES]

before = common.conf

[Definition]

_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$
            ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication aborted
            lost connection after (AUTH|UNKNOWN|EHLO) from (.*)\[<HOST>\]
            timeout after (AUTH|UNKNOWN|EHLO) from (.*)\[<HOST>\]

ignoreregex = authentication failed: Connection lost to authentication server$

[Init]

journalmatch = _SYSTEMD_UNIT=postfix.service


# Author: Yaroslav Halchenko



Ну и пример "тюремных" настроек под этот фильтр:
Код: Выделить всё
# Postfix
[postfix-sasl]
enabled = true
port     = smtp,465,submission
logpath  = /var/log/maillog
filter   = postfix-sasl
#action = %(action_mwl)s
action   = iptables-multiport[name=postfix-sasl, port="smtp,465,submission", protocol=tcp]
##          sendmail-whois[name=postfix-sasl, dest=myname@mydomain.com, sender=root@mydomain.com]
bantime  = 7200
findtime  = 1200
maxretry = 3


Вот прямо сейчас у меня наблюдается три забаненных ip-шника, которые попали под фильтр postfix-sasl:
Код: Выделить всё
# iptables -L -n --line-numbers
...
Chain f2b-postfix-sasl (1 references)
num  target     prot opt source               destination
1    DROP       all  --  217.217.179.17       0.0.0.0/0
2    DROP       all  --  14.228.170.249       0.0.0.0/0
3    DROP       all  --  114.218.138.97       0.0.0.0/0
4    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
...

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 18 окт 2018, 09:28
sovchik
очевидно не сразу совет до меня дошел - pop3s и imaps активны уже давно.
отказаться в пользу других решений не получится, не от меня это зависит.

совет про "аккуратнее с паролями" вообще не втему - пароли то как раз устойчивые, но учетка блокируется от попытки их перебрать.

upd: заблокировал pop3 и imap всем, кроме ряда юзеров. Подбор перестал блокировать учетки с запрещенными pop3 и imap , хоть кто то названивать мне перестал.

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 18 окт 2018, 09:46
Dimerson
Мониторить лог постофиса на предмет неуспешных авторизаций через GWIA ... как то все это не так ...

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 18 окт 2018, 11:22
Сергей Дубров
Dimerson писал(а):Мониторить лог постофиса на предмет неуспешных авторизаций через GWIA ... как то все это не так ...

Естественно, что нужно мониторить лог GWIA. Но для него готовых фильтров fail2ban мне не попадалось... На самом деле по образцу и подобию такой фильтр пишется на раз, было бы только понятно, что именно надо выловить в логе, какие regexp-ы описывают событие неуспешной авторизации.

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 19 окт 2018, 17:41
sovchik
Сергей Дубров писал(а):... На самом деле по образцу и подобию такой фильтр пишется на раз, было бы только понятно, что именно надо выловить в логе, какие regexp-ы описывают событие неуспешной авторизации.

ну вот и я как то на этом этапе "застрял".

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 19 окт 2018, 17:47
Dimerson
Там не было опции для gwia для разрешения ?

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 19 окт 2018, 17:55
sovchik
Dimerson писал(а):Там не было опции для gwia для разрешения ?

удалил вопрос уже - галки на allow forward не стояло в gwia группе . Сам дурак в общем :)

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 22 окт 2018, 07:30
Dimerson
Сдается мне что это импоссибле. Иначе давно бы уже напилили обработчик для fail2ban + gwia

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 28 окт 2018, 15:04
skoltogyan

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 31 окт 2018, 10:41
Dimerson
Поглядел - парсер gwia лога надо переделывать.

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 31 окт 2018, 22:07
skoltogyan
а какие именно переделки потребуются ?

Re: groupwise 2014 + подбор паролей

СообщениеДобавлено: 01 ноя 2018, 05:45
Dimerson
регэксп там чувствительный к версии GWIA .
На моей версии формат строк другой - не парсит нормально.

Опять жe. За месяц количество правил попадающих под DROP будет гигантским.
То есть надо пилить свой велосипед ака fail2ban.

Хотя правленный вариант исходного скрипта у меня работает.
3 адреса в дропе из текущего лога GWIA. Suse_firewall не использую. Там где надо - fwbuilder на SLES.

Посему мне проще сделать
iptables -F

а потом залить то что попадает под DROP.

Тем не менее вот они - наши герои :

0 0 DROP tcp -- * * 49.75.214.142 0.0.0.0/0 tcp dpt:25
171 10260 DROP tcp -- * * 185.222.209.83 0.0.0.0/0 tcp dpt:25
250 15000 DROP tcp -- * * 194.53.142.231 0.0.0.0/0 tcp dpt:25

второй и третий адреса интенсивно трудятся.