* Ограничение попыток авторизации

26.07.2010 14:40

shajtan пишет: А почему бы просто не заблокировать этот адрес?

Так он неизвестен заранее...Я эти следы увидела в разделе Е4 "попытки авторизации".

shajtan пишет: Встроенный фаерволл, ИМХО, имеет такую возможность. Вроде бы там есть и ограничение по DOS-атакам

Что-то не нашла. Стоит XP SP2.

wikipost

shajtan

26.07.2010 15:56

Блокировка адреса должна делаться фаерволлом Eserv-а. Посмотрите в commonplugins/firewall, сам конфиг фаерволла можно глянуть в eserv.ini

Сам я не пользовался, но судя по всему, это то что вам надо.

wikipost

26.07.2010 16:30

Да, это можно делать IDS'ом — автоматически выявлять настойчивых хулиганов и блокировать firewall'ом, но счетчик неудачных попыток авторизации сейчас для таких блокировок не используется, т.е. без дополнительного программирования не сработает (в IDS исходными данными является "скорость счетчика коннектов" с IP).

Идея ваша, Елена, совершенно правильная, "витает в воздухе", и как раз для её реализации БД незваных гостей и ведётся, но пока вот в таком виде без автоматического репрессирования.

wikipost

26.07.2010 17:02

shajtan пишет: Посмотрите в commonplugins/firewall, сам конфиг фаерволла можно глянуть в eserv.ini

Да, есть такое, раньше не видела. Там стоит UseFireWall=0. Это специально по умолчанию отключено по каким-то соображениям? Надо ли переводить в =1? Те значения, которые стоят в секции [IDS] по умолчанию можно оставлять без исправлений? Уже так привыкла, что все параметры Е4 теперь есть в WEB-интерфейсе, что забываю поглядывать в ini файл.

ac пишет: пока вот в таком виде без автоматического репрессирования.

Значит, есть к чему стремиться!

)

wikipost

leka

26.07.2010 17:03

Посмотрите как это реализовано в PigMailPigProxy, по умолчанию установлено три попытки, если попытки заканчиваются айпишник такой заноситься автоматом в черный список...

wikipost

26.07.2010 19:39

Да, автоматическое пополнение черных списков в определенных ситуациях было и в базовом конфиге E3.

matveeva пишет: Значит, есть к чему стремиться!

Это да. Линия горизонта всегда хорошо видна, но сколько к ней не идешь... Вот уже и рубеж веков давно перешагнули, а та линия всё далеко впереди, и даже временами сзади, но все никак не под ногами с надписью "Стоп, дальше некуда".

matveeva пишет: Надо ли переводить в =1? Те значения, которые стоят в секции [IDS] по умолчанию можно оставлять без исправлений?

Поэкспериментировать можно, но большой пользы в мирной жизни от этого инструмента нет. А потенциальный вред есть. Так в прошлом (во времена E3) админы нередко неправильными настройками блокировали собственных пользователей, а потом жаловались "что-то у нас Eproxy прерывисто работает". Если же на сервер ломятся не случайно зашедшие боты, осторожно ищущие где что плохо лежит, а целенаправленно наведенные врагами бомбардировщики, то вот здесь этот plugin поможет серверу хоть как-то переводить дух, прикрываясь автоматическим бронированным щитом IDS, заточенным как раз на распознание ковровых бомбардировок.

wikipost

pig

26.07.2010 23:05

yuriy пишет: Эти возможности файрвола будут работать всегда, или если Е4 стоит внутри сети, за другим файрволом, и имеет внутренний IP, то не сработает?

Зависит от того, что видит Eserv — публичный IP клиента или внутренний IP файрвола. Если первое, то работать будет.

wikipost

27.07.2010 13:11
ред: 27.07.2010 13:12

ac пишет: большой пользы в мирной жизни от этого инструмента нет.

Ну, значит и не буду ставить пока. Тем более нам это не так, видимо, страшно, т.к. сидим за ADSL-ным модемом, и на комп. перенаправляются только неск. специально запрошенных у провайдера портов. Поэтому страшна только успешная попытка авторизации на SMPT сервере. И когда появится механизм, блокирующий этих "чудаков", будет совсем все в шоколаде!

ac пишет: прикрываясь автоматическим бронированным щитом IDS, заточенным как раз на распознание ковровых бомбардировок.

Надо не просто прикрываться, а отстреливаться от этих гадов

))

wikipost

27.07.2010 15:21

Еще есть мнение, что надо подставить другую щеку

А в нашей ситуации сетевые атаки вообще незаконны, поэтому метод борьбы такими же бомбами неприемлем. А дипломатический путь переговоров с администрациями сетей, откуда ведутся атаки, слишком долгий и обычно бесперспективный. Firewall'ная блокировка конкретных атакующих IP наиболее оптимальный вариант — атакующий, получая таймауты, может решить, что он уже успешно отбомбился, и улететь.

wikipost

27.07.2010 15:57

ac пишет: может решить, что он уже успешно отбомбился, и улететь.

)) И я за мир во всем мире! (цитата из "Мисс конгениальность")

)

wikipost

29.07.2010 10:03

Как-то не нашел лога по пути

Log={Dirs[Logs]}\firewall

wikipost

29.07.2010 15:25

Туда записываются только данные срабатывания блокировок. Выглядит например так (E4\DATA\log\firewall\200911fw.txt):

2009-11-08 05:34:52;82.128.20.242;denied 2009-11-08 05:35:42;82.128.20.242;allowed 2009-11-08 05:35:45;82.128.20.242;denied 2009-11-08 05:35:50;66.108.193.189;allowed 2009-11-08 05:36:09;66.108.193.189;denied 2009-11-08 05:36:33;82.128.20.242;allowed

wikipost

29.07.2010 16:36

Ожидал что-то подобное, но у меня сего нет.
Предполагаю, что firewall не запускается. Как можно проверить его работу

wikipost

29.07.2010 18:32

Запустить атаку в виде цикла коннектов со скоростью большей, чем настроено в параметрах IDS.

wikipost

03.05.2011 09:06

Вопрос об ограничении количества попыток авторизации и временной блокировке IP по-прежнему актуален. Регулярно кто-то ломится.
Или это уже сделано, а я пропустила?

wikipost

04.05.2011 05:10

Пока не пропустили, но если сегодняшнее обновление не поставите...

wikipost

04.05.2011 08:56
ред: 04.05.2011 09:04

После установки обновления от 4.05 не получилось подключиться к административному порту. Пароль я не забыл, вводил правильный. А меня ....

<30>Log started: Wed, 04 May 2011 08:50:32 +0300 (ESERV, build 28550, 04.05.2011) MAPTO: xx.x.0.xxx 5555 2011-05-04 08:50:55: user xxxxxxxx - blocked xx.xx.xx.xx [11] 2011-05-04 08:51:06: admin xxxxx - blocked xx.xx.xx.xx [11] ... 2011-05-04 08:52:22: admin xxxxx - blocked xx.xx.xx.xx [23] 2011-05-04 08:52:31: web xxxxx - blocked xx.xx.xx.xx [24] ... 2011-05-04 08:52:54: admin xxxxx - blocked xx.xx.xx.xx [35] ... 2011-05-04 08:52:56: admin xxxxx - blocked xx.xx.xx.xx [38] Wed, 04 May 2011 08:53:38 +0300- shutdown...

Пришлось пока откатить acWeb на предыдущую версию.
Может не стоит так жестко поступать с пользователями, которые из локальной сети?
Кстати acIMAP тоже блокирует пользователей. Такое впечатление, что он вообще не понимает паролей. Причем все. Как админовские, так и пользователей.
Откатил все сервисы на предыдущую версию

wikipost

04.05.2011 08:59

а как откатился? Я теперь попасть в управление серверами попасть не можу

wikipost

04.05.2011 09:07

На прокси машине физически (не через Web) остановил сервисы и вытащил предыдущие файлы из:

\E4\DATA\temp\restore\2011-05-04

wikipost

04.05.2011 09:08

Ага спасибо. Нашёл.

wikipost

04.05.2011 09:10

Такое впечатление, что не

После 10 попыток неудачной авторизации IP этого клиента больше не допускается к авторизации

считается неавторизованным сразу, независимо от предъявленных имени:пароля

wikipost

04.05.2011 12:59

Виноват, извините

Исправление уже раздается в обновлениях.

alex1124 пишет: считается неавторизованным сразу

Все-таки не сразу, а с 11 коннекта (независимо от успешности предыдущих коннектов). Перед выпуском обновления решил сэкономить Eserv'ам еще пару операций, перенес проверку счетчика выше чем следовало.

wikipost

19.05.2011 07:37

А как отключить "ограничения количества попыток авторизации"?

Блокируется IP и соответственно не работает и почта и всё остальное. Клуши по утрам приходят и пока кофе не попьют не могут пароль набрать.
Лучше не отключать ограничение а как нить отдельно каждого пользавателя переподключать а то решаетса всё перезапуском acWeb.

wikipost

19.05.2011 08:56
ред: 19.05.2011 08:57

evguenil пишет: Клуши по утрам приходят и пока кофе не попьют не могут пароль набрать.

Может им IP-авторизацию сделать, чтобы не набирать пароль вообще?

wikipost

19.05.2011 09:37

Клуши прыгают с машины на машину и у каждой тарфный план.

wikipost

19.05.2011 13:03

Да, у этой функции уже много срабатываний на невинных людей. Вот на соседнем форуме человек не поленился 35 раз ввести пароль прежде чем догадался, что что-то здесь не так, и написал в техподдержку...

Отключить проще всего, но должны быть и разумные настройки по умолчанию. Может отодвинуть счетчик до 50? Человек такой счетчик вряд ли накрутит, а переборщика паролей остановит уже на каком-нибудь "aa*".

wikipost

pig

19.05.2011 14:01

А может, смотреть на частоту? Если за небольшой промежуток времени много событий, то это атака, включаем блокировку. Если потом длительная пауза, то блокировка автоматически снимается.

wikipost

19.05.2011 18:02

Возможную частоту неправильных попыток авторизации Eserv снижает задержками ответа после этих попыток, в результате спамер вводит пароли даже медленнее, чем в принципе мог бы вводить человек. Спамер отличается только выносливостью

Если пауза перешла границу суток, то блокировка снимается.

wikipost

20.05.2011 11:34

Мне кажется, что количество 10 нормальное. Но вот если бы был инструмент обнуления попыток — это могло снять остроту вопроса

wikipost

04.02.2014 12:12

alex1124 пишет: После 10 попыток неудачной авторизации IP этого клиента больше не допускается к авторизации

В общем не нашёл пока откуда это взято, но: сейчас у меня на сервере прописано UseFirewallBlocks=0 в E4.orig.ini и куча "blocked" по всем сервисам.
Причём юзеры ничего специального такого не делают. просто начинают настраивать Outlook и при любой ошибке настройки клиент почему-то делает много соединений практически одновременно (судя по логам до 3-х раз в секунду). Соединения естественно неправильные и сервер их лочит. И, увы, эта ситуация не разовая, а системная.
Чтобы разблокировать юзера и дать ему возможность работать — приходится перегружать сервисы почтового сервера. Но это-же неправильно!
Какой-то другой вариант разблокировки предусмотрен?

wikipost

pig

04.02.2014 15:05

pavlad пишет: прописано UseFirewallBlocks=0 в E4.orig.ini

А в E4.ini? Опять же — отключение блокировок через файрвол не отменяет блокировки вообще, если IDS работает. Просто другой механизм используется.

pavlad пишет: куча "blocked" по всем сервисам.

pavlad пишет: приходится перегружать сервисы почтового сервера.

Таки по всем или только почтовые?

pavlad пишет: Какой-то другой вариант разблокировки предусмотрен?

Боюсь, что нет.

wikipost

04.02.2014 16:59

pig пишет: Таки по всем или только почтовые?

Ну мы же в почтовой теме здесь — соответственно у юзеров "blocked" по SMTP/IMAP

pig пишет: А в E4.ini?

А в E4.ini, естественно, секцию эту добавил, пытаюсь покрутить параметрами
IpStatPeriod/IpAllowedCnt/IpBlockPeriods поиграться — снизить пороги блокировок, а мысль свербит, что при UseFirewallBlocks=0 это всё не должно роли играть.
Юзеров жалко — они-ж понять-то сами ничего не могут, сервер их сходу заблокировал, а люди начинают лихорадочно перебирать-подставлять всё что в жизни помнили.

wikipost

04.02.2014 19:02

Эти параметры в ini не для ограничения попыток авторизации, а для блокировок по частоте подключений. UseFirewallBlock на прочие параметры не влияет, а управляет только способом блокировки. Если отключен, то блокировка заключается в закрытии нового подключения от заблокированного IP. А если включен, то этот IP блокируется средствами Firewall в Windows, т.е. Eserv даже не увидит новых попыток подключения с этого IP — Windows даже на SYN-пакет от этого "хакера" не ответит, станет "невидимым" для атакующего/нарушителя.

wikipost

atest-t

05.02.2014 10:32

У меня такой конфиг:

[FireWall] Log=DATA\log\firewall UseFireWall=1 [IDS] IpStatPeriod=180000 IpAllowedCnt=550 IpBlockPeriods=16 UseFirewallBlocks=0

Нашей организации хватает.

wikipost

atest-t

05.02.2014 10:34

Есть подозрение, что IDS работает не только на аутентификацию, но и на остальные команды.

wikipost

05.02.2014 12:52
ред: 05.02.2014 12:53

atest-t пишет: Есть подозрение, что IDS работает не только на аутентификацию, но и на остальные команды.

ac пишет: Эти параметры [...] для блокировок по частоте подключений.

(TCP-соединений)

wikipost

atest-t

18.03.2014 11:42

А если использовать SMTP keepalive, то счётчик, получается, бежать не должен?

wikipost

18.03.2014 17:50

Вы из PHP отправляете? Если он действительно поддерживает одно SMTP-соединение для отправки множества писем, то да, это может вывести его из-под контроля IDS.

Если IDS мешает работе программ, то его вообще можно отключить — для отдельных серверов или для всех.

wikipost

31.03.2014 11:16

evguenil пишет: А как отключить "ограничения количества попыток авторизации"?

Так всё-таки, есть эта волшебная кнопка и где? Снаружи попытки подбора пароля я закрыл фильтром, но внутренние пользователи от глюков используемого ПО или по своей неопытности страдают почём зря. Это-ж не дело — ради разблокировки очередного залётчика перезагружать сервер по десять раз на дню.
Ну или там... увеличить счётчик до потребного нам уровня.

wikipost

31.03.2014 22:12

У ваших пользователей проблемы из-за нелокальных IP в вашей ЛС (локальные IP давно исключаются из подобных автоблокировок, т.к. локальные "хакеры" доступны для других способов воздействия). Можно "пропатчить" встроенную функцию IsLanIP, чтобы ваши IP тоже считались локальными:

: MY_IsLanIP ( ip -- flag ) \ flag-истина, если клиент из локальной сети 10/8, 192.168/16, 172.16/12 \ в соответствии с RFC 1918 \ или localhost DUP 0x100007F = IF DROP TRUE EXIT THEN DUP 0xFF AND 10 = IF DROP TRUE EXIT THEN DUP 0xFFFF AND 0xA8C0 = IF DROP TRUE EXIT THEN DUP 0xF0FF AND 0x10AC = IF DROP TRUE EXIT THEN DUP 0xмаска AND 0xадрес = IF DROP TRUE EXIT THEN DROP FALSE ; ' MY_IsLanIP ' IsLanIP JMP

Где "маска" и "адрес" — соответствующие числа для вашей ЛС. Добавить в OnStartup.rules.txt.

wikipost