groupwise 2014 + подбор паролей

Обсуждение технических вопросов по продуктам Novell

Re: groupwise 2014 + подбор паролей

Сообщение skoltogyan » 01 ноя 2018, 07:51

Например, про второй адрес - можно написать abuse@daccess.org ( этот блок ip их) , приложив tcpdump и кусок лога.
Провайдеры предпринимают адекватные действия, на такие запросы
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 01 ноя 2018, 07:58

Я тут чуть расширил задачу - изучаю логи POA на предмет Linux логинов со стороны GWIA. Это редкие роботы типа NetApp которые шлют автосаппорт,
кажется сюда же попадают заходы с вебаксесса. Остальное - люди с паролями 12345 (все сидят на GW клиентах и их видно как Windows Login). Будем натравливать на них безопасников.

А по скрипту блокировщику - по уму его пилить и пилить ,надо бы whitelist добавлять и все такое. Опять же False-Positive только руками. итд итп.
И логи GWIA пишутся очень отложенно.

UPD. Что делать с ленивостью записи в лог понятно.
Ибо у GWIA есть WEB-interface со своими логином и паролем, достаточно сделать
wget --user=<WebUserName> --password=<WebUserPassword> http://192.168.100.207:9850/eventlog,
и то что не еще в логе сразу пишется в него (смотрю через tail -f). Можно вставить в скрипт перед запуском вышеописанного gwia_intruderblock.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение skoltogyan » 02 ноя 2018, 08:01

может такой вариант ?
установить NGINX перед вашим GWIA, что-бы он проксировал IMAP запросы.
и уже смотреть логи в nginx , на предмет не верных вводов паролей ? ( там лог файл поприятнее и сразу пишется)

про nginx+imap, например, тут почитать:
https://www.nginx.com/resources/wiki/st ... xyexample/
http://www.alsigned.ru/?p=3189
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 02 ноя 2018, 09:24

нет имапа. нет поп3. на gwia только smtp (in/out для отправки почты с домена/на домен + авторизация для отравки по smtp всякими роботами ).
реально подумываю что-нибудь более защищенное на вход по smtp поставить перед gwia.
с развесистыми acl и все такое.

К примеру разрешить прием/оправку отовсюду/везде.
а авторизацию только с 127.0.0.1/наших внутренних сеток.
остальное deny
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 04 ноя 2018, 07:27

Я тут подумал, и пришел к выводу, что это не борьба не с причиной, а со следствием. В данный момент имеется один gwia со включенной smtp auth на 25 порту. На него через нат проброшен 25 порт снаружи (соответствует mx записи). Радикально решить можно так: данный gwia оставить без изменений - он по умолчанию будет gwia для отправки почты из системы наружу. Создаем еще 1 экземпляр gwia в домене. На допустим 1025 порту. Smtp auth=off для него. И прокинуть 25 порт снаружи на этот 1025.
Получается так что в принципе невозможно ничего подобрать снаружи. Надо только еще 1 gwia сканер в gwava добавить для второго gwia. Вуаля.
Как вариант можно поднять не gwia а создать gwava smtp сканер (на его порт будет прокидываться 25 порт снаружи). Он будет проверять почту к тому же. Отключить ему smtp auth. И если с почтой все ок, передавать принятую системному gwia.

upd: на первый взгляд неясно, как отключить AUTH LOGIN у GWIA (скорее всего неотключаемо).

Посему я поглядел что у меня с lsof -i | grep smtp

master 7596 root 12u IPv4 29762 0t0 TCP localhost:smtp (LISTEN) ---- системный postfix
gwia 8125 root 8u IPv4 34974 0t0 TCP gw2012.INTERNALDOMIANNNAME:smtp (LISTEN) ---- gwia в стоставе groupwise

На OES с GroupWise поднял еще 1 шт ip адрес.
На нем поднял SMTP интерфейс (суть smtp proxy, все политики сканирования унаследовал со сканера GWAVA для GWIA, выставил галку Do not allow AUTH LOGIN) GWAVA.

gwvsmtp 83411 root 42u IPv4 586460421 0t0 TCP 192.168.100.194:smtp (LISTEN)

он подлюка для нормального пропихивания почты хочет правильный mx.

прописал в /etc/hosts
192.168.100.194 <ТО ЧТО В MX моего почтового домена>

тестируем:
----------------------------------------
старый - GWIA:
220 XXXXXXXXX Ready
EHLO
250-XXXXXXXXX
250-AUTH LOGIN
250-8BITMIME
250-SIZE
250 DSN
AUTH LOGIN
334 VXNlcm5hbWU6

Он дает авторизацию по SMTP
----------------------------------------
новый - GWAVA SMTP Scanner:
220 Server Ready
EHLO
250-192.168.100.194
250 NO-SOLICITING
AUTH LOGIN
502 Command not implemented

Он не дает авторизацию по SMTP
----------------------------------------
Отправляю себе письмо телнетом

220 Server Ready
helo
250 OK
mail from:<tester@mail.ru>
250 OK
rcpt to:<my@email.address>
250 Ok
data
354 Start mail input; end with <CRLF>.<CRLF>
Subject: Test
That,s all folks !!!
.
250 Ok

Принимает
----------------------------------------

Пробуем отправку от несуществующего пользователя:
220 Server Ready
helo
250 OK
mail from:<tester@mail.cu>
250 OK
rcpt to:<NopeUser@email.address>
550 No such recipient

Дает отлуп
----------------------------------------

Пробуем отправку от пользвателя левого домена:

helo
250 OK
mail from:<tester@mail.ru>
250 OK
rcpt to:<RealUser@mail.ru>
500 5.5.1 Invalid command


Подключение к узлу утеряно.

Дает отлуп
----------------------------------------


Вроде бы все работает как надо. Осталось настроить на firewall проброс 25 порта снаружи вовнутрь (сменить внутренний адрес GWIA на адрес GWAVA SMTP).

И про подбор пароля забыли насовсем.

UPD2:

Попробовал пихнуть телнетом eicar.com в base64 в виде аттача:

получаю

550 Message was blocked by server (GWAVA blocked: virus, reference ID: str=0001.0A0C020F.5BE133F4.005F,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=1,cl=1,cld=1,fgs=0)

на вебморде gwava красота EICAR_Test_File 6 нояб. 2018 г., 13:25:56

в логах gwava

[3r50irg][2] NOV-06 13:25:56 GWAVA reports message should be blocked
[3ra3ogg][2] NOV-06 13:25:56 Message was blocked: virus
[3ra3ogg][1] NOV-06 13:25:58 Socket is closed

как бы работает. скоро в продакшен.

UPD3:

А вот свеженькое из продакшена

<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:47</t><i>< 200 Engine connected</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:47</t><i>=> 220 Server Ready</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:47</t><i><= HELO *.*</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:47</t><i>=> 250 OK</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:48</t><i><= AUTH LOGIN</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:48</t><i>=> 502 Command not implemented</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:48</t><i><= QUIT</i></ln>
<ln><p>3r96ggg</p><l>4</l><d>2018-NOV-06</d><t>14:50:48</t><i>=> 221 Closing transmission channel</i></ln>

В общем так оно надёжнее.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 06 ноя 2018, 13:55

skoltogyan писал(а):Например, про второй адрес - можно написать abuse@daccess.org ( этот блок ip их) , приложив tcpdump и кусок лога.
Провайдеры предпринимают адекватные действия, на такие запросы

ТрансТелеКом отправлет в лес с такими запросами. если 1-2 ip адреса им выдать, то ещё шевелятся, а когда им список из 100 Ip кинул, был послан с фразой "слишком много Ip, работать не будем"
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 06 ноя 2018, 13:56

skoltogyan писал(а):может такой вариант ?
установить NGINX перед вашим GWIA, что-бы он проксировал IMAP запросы.
и уже смотреть логи в nginx , на предмет не верных вводов паролей ? ( там лог файл поприятнее и сразу пишется)

про nginx+imap, например, тут почитать:
https://www.nginx.com/resources/wiki/st ... xyexample/
http://www.alsigned.ru/?p=3189

по ходу так и сделаю, спасибо
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 12 ноя 2018, 16:23

обошлось более простым способом : cron + самоделка скрипт.
Взято отсюда - https://www.novell.com/communities/cool ... out-users/ - хотя скрипт пришлось слегка допилить (он на ipv6) рассчитан
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 14 ноя 2018, 04:47

Sovchik. Какая задержка при записи gwia лог файла у вас ? Я у себя изучал - бывает 10 мин и более. За это время пароль могут и подобрать.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: groupwise 2014 + подбор паролей

Сообщение sovchik » 19 ноя 2018, 16:07

Dimerson писал(а):Sovchik. Какая задержка при записи gwia лог файла у вас ? Я у себя изучал - бывает 10 мин и более. За это время пароль могут и подобрать.

5-10 минут.
согласен, могут, но пока что не было блокировок. "в тестовом" режиме скрипт раз в 15 мин. поставил - жду результатов
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: groupwise 2014 + подбор паролей

Сообщение Dimerson » 20 ноя 2018, 05:49

я пробовал ускорять его путем добавления в начало перлового скриптскрипт :

system('/usr/bin/wget --user=WEB-CONSOLE-USER --password=WEB-CONSOLE-PASSWORD -O /dev/null http://192.168.100.207:GWIA-WEB_CONSOLE-PORT/eventlog');

если решение подоойдёт, надо добавить строку скачивание файла лога тоже в /dev/null
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 44

cron