Регистрация...

Eserv Forum / E4 / Mail / Ограничение попыток авторизации

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Кто-то упертый больше часа пытался подобрать логин-пароль. Более 1000 попыток с одного IP. Есть ли возможность установить лимит попыток и блокировку на какое-то время этого IP?
 
Комментарии к этой версии (22.07.2010 09:54) [~matveeva] d0bf9c4e
Комментарии к версии 2 (22.07.2010 09:54) [~matveeva] f96e14c3
АвторДатаТекстtags
shajtan26.07.2010 11:04
А почему бы просто не заблокировать этот адрес? Встроенный фаерволл, ИМХО, имеет такую возможность. Вроде бы там есть и ограничение по DOS-атакам, как раз то что нужно в этом случае.
wikipost
matveeva26.07.2010 14:40
shajtan пишет: А почему бы просто не заблокировать этот адрес?
Так он неизвестен заранее...Я эти следы увидела в разделе Е4 "попытки авторизации".
shajtan пишет: Встроенный фаерволл, ИМХО, имеет такую возможность. Вроде бы там есть и ограничение по DOS-атакам
Что-то не нашла. Стоит XP SP2.
wikipost
shajtan26.07.2010 15:56
Блокировка адреса должна делаться фаерволлом Eserv-а. Посмотрите в commonplugins/firewall, сам конфиг фаерволла можно глянуть в eserv.ini

Сам я не пользовался, но судя по всему, это то что вам надо.
wikipost
ac26.07.2010 16:30
Да, это можно делать IDS'ом — автоматически выявлять настойчивых хулиганов и блокировать firewall'ом, но счетчик неудачных попыток авторизации сейчас для таких блокировок не используется, т.е. без дополнительного программирования не сработает (в IDS исходными данными является "скорость счетчика коннектов" с IP).

Идея ваша, Елена, совершенно правильная, "витает в воздухе", и как раз для её реализации БД незваных гостей и ведётся, но пока вот в таком виде без автоматического репрессирования.
wikipost
matveeva26.07.2010 17:02
shajtan пишет: Посмотрите в commonplugins/firewall, сам конфиг фаерволла можно глянуть в eserv.ini
Да, есть такое, раньше не видела. Там стоит UseFireWall=0. Это специально по умолчанию отключено по каким-то соображениям? Надо ли переводить в =1? Те значения, которые стоят в секции [IDS] по умолчанию можно оставлять без исправлений? Уже так привыкла, что все параметры Е4 теперь есть в WEB-интерфейсе, что забываю поглядывать в ini файл.
ac пишет: пока вот в таком виде без автоматического репрессирования.
Значит, есть к чему стремиться! )
wikipost
leka26.07.2010 17:03
Посмотрите как это реализовано в PigMailPigProxy, по умолчанию установлено три попытки, если попытки заканчиваются айпишник такой заноситься автоматом в черный список...
wikipost
ac26.07.2010 19:39
Да, автоматическое пополнение черных списков в определенных ситуациях было и в базовом конфиге E3.

matveeva пишет: Значит, есть к чему стремиться!

Это да. Линия горизонта всегда хорошо видна, но сколько к ней не идешь... Вот уже и рубеж веков давно перешагнули, а та линия всё далеко впереди, и даже временами сзади, но все никак не под ногами с надписью "Стоп, дальше некуда".

matveeva пишет: Надо ли переводить в =1? Те значения, которые стоят в секции [IDS] по умолчанию можно оставлять без исправлений?

Поэкспериментировать можно, но большой пользы в мирной жизни от этого инструмента нет. А потенциальный вред есть. Так в прошлом (во времена E3) админы нередко неправильными настройками блокировали собственных пользователей, а потом жаловались "что-то у нас Eproxy прерывисто работает". Если же на сервер ломятся не случайно зашедшие боты, осторожно ищущие где что плохо лежит, а целенаправленно наведенные врагами бомбардировщики, то вот здесь этот plugin поможет серверу хоть как-то переводить дух, прикрываясь автоматическим бронированным щитом IDS, заточенным как раз на распознание ковровых бомбардировок.
wikipost
pig26.07.2010 23:05
yuriy пишет: Эти возможности файрвола будут работать всегда, или если Е4 стоит внутри сети, за другим файрволом, и имеет внутренний IP, то не сработает?

Зависит от того, что видит Eserv — публичный IP клиента или внутренний IP файрвола. Если первое, то работать будет.
wikipost
matveeva27.07.2010 13:11
ред: 27.07.2010 13:12
ac пишет: большой пользы в мирной жизни от этого инструмента нет.
Ну, значит и не буду ставить пока. Тем более нам это не так, видимо, страшно, т.к. сидим за ADSL-ным модемом, и на комп. перенаправляются только неск. специально запрошенных у провайдера портов. Поэтому страшна только успешная попытка авторизации на SMPT сервере. И когда появится механизм, блокирующий этих "чудаков", будет совсем все в шоколаде!
ac пишет: прикрываясь автоматическим бронированным щитом IDS, заточенным как раз на распознание ковровых бомбардировок.
Надо не просто прикрываться, а отстреливаться от этих гадов ))
wikipost
ac27.07.2010 15:21
Еще есть мнение, что надо подставить другую щеку А в нашей ситуации сетевые атаки вообще незаконны, поэтому метод борьбы такими же бомбами неприемлем. А дипломатический путь переговоров с администрациями сетей, откуда ведутся атаки, слишком долгий и обычно бесперспективный. Firewall'ная блокировка конкретных атакующих IP наиболее оптимальный вариант — атакующий, получая таймауты, может решить, что он уже успешно отбомбился, и улететь.
wikipost
matveeva27.07.2010 15:57
ac пишет: может решить, что он уже успешно отбомбился, и улететь.
)) И я за мир во всем мире! (цитата из "Мисс конгениальность"))
wikipost
alex112429.07.2010 10:03
Как-то не нашел лога по пути
Log={Dirs[Logs]}\firewall
wikipost
ac29.07.2010 15:25
Туда записываются только данные срабатывания блокировок. Выглядит например так (E4\DATA\log\firewall\200911fw.txt):
2009-11-08 05:34:52;82.128.20.242;denied 2009-11-08 05:35:42;82.128.20.242;allowed 2009-11-08 05:35:45;82.128.20.242;denied 2009-11-08 05:35:50;66.108.193.189;allowed 2009-11-08 05:36:09;66.108.193.189;denied 2009-11-08 05:36:33;82.128.20.242;allowed
wikipost
alex112429.07.2010 16:36
Ожидал что-то подобное, но у меня сего нет.
Предполагаю, что firewall не запускается. Как можно проверить его работу
wikipost
ac29.07.2010 18:32
Запустить атаку в виде цикла коннектов со скоростью большей, чем настроено в параметрах IDS.
wikipost
matveeva03.05.2011 09:06
Вопрос об ограничении количества попыток авторизации и временной блокировке IP по-прежнему актуален. Регулярно кто-то ломится.
Или это уже сделано, а я пропустила?
wikipost
ac04.05.2011 05:10
Пока не пропустили, но если сегодняшнее обновление не поставите...
wikipost
alex112404.05.2011 08:56
ред: 04.05.2011 09:04
После установки обновления от 4.05 не получилось подключиться к административному порту. Пароль я не забыл, вводил правильный. А меня ....
<30>Log started: Wed, 04 May 2011 08:50:32 +0300 (ESERV, build 28550, 04.05.2011) MAPTO: xx.x.0.xxx 5555 2011-05-04 08:50:55: user xxxxxxxx - blocked xx.xx.xx.xx [11] 2011-05-04 08:51:06: admin xxxxx - blocked xx.xx.xx.xx [11] ... 2011-05-04 08:52:22: admin xxxxx - blocked xx.xx.xx.xx [23] 2011-05-04 08:52:31: web xxxxx - blocked xx.xx.xx.xx [24] ... 2011-05-04 08:52:54: admin xxxxx - blocked xx.xx.xx.xx [35] ... 2011-05-04 08:52:56: admin xxxxx - blocked xx.xx.xx.xx [38] Wed, 04 May 2011 08:53:38 +0300- shutdown...

Пришлось пока откатить acWeb на предыдущую версию.
Может не стоит так жестко поступать с пользователями, которые из локальной сети?
Кстати acIMAP тоже блокирует пользователей. Такое впечатление, что он вообще не понимает паролей. Причем все. Как админовские, так и пользователей.
Откатил все сервисы на предыдущую версию
wikipost
evguenil04.05.2011 08:59
а как откатился? Я теперь попасть в управление серверами попасть не можу
wikipost
alex112404.05.2011 09:07
На прокси машине физически (не через Web) остановил сервисы и вытащил предыдущие файлы из:
\E4\DATA\temp\restore\2011-05-04
wikipost
evguenil04.05.2011 09:08
Ага спасибо. Нашёл.
wikipost
alex112404.05.2011 09:10
Такое впечатление, что не
После 10 попыток неудачной авторизации IP этого клиента больше не допускается к авторизации
а
считается неавторизованным сразу, независимо от предъявленных имени:пароля
wikipost
ac04.05.2011 12:59
Виноват, извините Исправление уже раздается в обновлениях.

alex1124 пишет: считается неавторизованным сразу

Все-таки не сразу, а с 11 коннекта (независимо от успешности предыдущих коннектов). Перед выпуском обновления решил сэкономить Eserv'ам еще пару операций, перенес проверку счетчика выше чем следовало.
wikipost
evguenil19.05.2011 07:37
А как отключить "ограничения количества попыток авторизации"?

Блокируется IP и соответственно не работает и почта и всё остальное. Клуши по утрам приходят и пока кофе не попьют не могут пароль набрать.
Лучше не отключать ограничение а как нить отдельно каждого пользавателя переподключать а то решаетса всё перезапуском acWeb.
wikipost
matveeva19.05.2011 08:56
ред: 19.05.2011 08:57
evguenil пишет: Клуши по утрам приходят и пока кофе не попьют не могут пароль набрать.

Может им IP-авторизацию сделать, чтобы не набирать пароль вообще?
wikipost
evguenil19.05.2011 09:37
Клуши прыгают с машины на машину и у каждой тарфный план.
wikipost
ac19.05.2011 13:03
Да, у этой функции уже много срабатываний на невинных людей. Вот на соседнем форуме человек не поленился 35 раз ввести пароль прежде чем догадался, что что-то здесь не так, и написал в техподдержку...

Отключить проще всего, но должны быть и разумные настройки по умолчанию. Может отодвинуть счетчик до 50? Человек такой счетчик вряд ли накрутит, а переборщика паролей остановит уже на каком-нибудь "aa*".
wikipost
pig19.05.2011 14:01
А может, смотреть на частоту? Если за небольшой промежуток времени много событий, то это атака, включаем блокировку. Если потом длительная пауза, то блокировка автоматически снимается.
wikipost
ac19.05.2011 18:02
Возможную частоту неправильных попыток авторизации Eserv снижает задержками ответа после этих попыток, в результате спамер вводит пароли даже медленнее, чем в принципе мог бы вводить человек. Спамер отличается только выносливостью

Если пауза перешла границу суток, то блокировка снимается.
wikipost
alex112420.05.2011 11:34
Мне кажется, что количество 10 нормальное. Но вот если бы был инструмент обнуления попыток — это могло снять остроту вопроса
wikipost
pavlad04.02.2014 12:12
alex1124 пишет: После 10 попыток неудачной авторизации IP этого клиента больше не допускается к авторизации

В общем не нашёл пока откуда это взято, но: сейчас у меня на сервере прописано UseFirewallBlocks=0 в E4.orig.ini и куча "blocked" по всем сервисам.
Причём юзеры ничего специального такого не делают. просто начинают настраивать Outlook и при любой ошибке настройки клиент почему-то делает много соединений практически одновременно (судя по логам до 3-х раз в секунду). Соединения естественно неправильные и сервер их лочит. И, увы, эта ситуация не разовая, а системная.
Чтобы разблокировать юзера и дать ему возможность работать — приходится перегружать сервисы почтового сервера. Но это-же неправильно!
    Какой-то другой вариант разблокировки предусмотрен?
wikipost
pig04.02.2014 15:05
pavlad пишет: прописано UseFirewallBlocks=0 в E4.orig.ini

А в E4.ini? Опять же — отключение блокировок через файрвол не отменяет блокировки вообще, если IDS работает. Просто другой механизм используется.
pavlad пишет: куча "blocked" по всем сервисам.

pavlad пишет: приходится перегружать сервисы почтового сервера.

Таки по всем или только почтовые?
pavlad пишет: Какой-то другой вариант разблокировки предусмотрен?

Боюсь, что нет.
wikipost
pavlad04.02.2014 16:59
pig пишет: Таки по всем или только почтовые?

Ну мы же в почтовой теме здесь — соответственно у юзеров "blocked" по SMTP/IMAP
pig пишет: А в E4.ini?

А в E4.ini, естественно, секцию эту добавил, пытаюсь покрутить параметрами
IpStatPeriod/IpAllowedCnt/IpBlockPeriods поиграться — снизить пороги блокировок, а мысль свербит, что при UseFirewallBlocks=0 это всё не должно роли играть.
Юзеров жалко — они-ж понять-то сами ничего не могут, сервер их сходу заблокировал, а люди начинают лихорадочно перебирать-подставлять всё что в жизни помнили.
wikipost
ac04.02.2014 19:02
Эти параметры в ini не для ограничения попыток авторизации, а для блокировок по частоте подключений. UseFirewallBlock на прочие параметры не влияет, а управляет только способом блокировки. Если отключен, то блокировка заключается в закрытии нового подключения от заблокированного IP. А если включен, то этот IP блокируется средствами Firewall в Windows, т.е. Eserv даже не увидит новых попыток подключения с этого IP — Windows даже на SYN-пакет от этого "хакера" не ответит, станет "невидимым" для атакующего/нарушителя.
wikipost
atest-t05.02.2014 10:32
У меня такой конфиг:
[FireWall] Log=DATA\log\firewall UseFireWall=1 [IDS] IpStatPeriod=180000 IpAllowedCnt=550 IpBlockPeriods=16 UseFirewallBlocks=0

Нашей организации хватает.
wikipost
atest-t05.02.2014 10:34
Есть подозрение, что IDS работает не только на аутентификацию, но и на остальные команды.
wikipost
ac05.02.2014 12:52
ред: 05.02.2014 12:53
atest-t пишет: Есть подозрение, что IDS работает не только на аутентификацию, но и на остальные команды.

ac пишет: Эти параметры [...] для блокировок по частоте подключений.

(TCP-соединений)
wikipost
atest-t18.03.2014 11:42
А если использовать SMTP keepalive, то счётчик, получается, бежать не должен?
wikipost
ac18.03.2014 17:50
Вы из PHP отправляете? Если он действительно поддерживает одно SMTP-соединение для отправки множества писем, то да, это может вывести его из-под контроля IDS.

Если IDS мешает работе программ, то его вообще можно отключить — для отдельных серверов или для всех.
wikipost
pavlad31.03.2014 11:16
evguenil пишет: А как отключить "ограничения количества попыток авторизации"?

Так всё-таки, есть эта волшебная кнопка и где? Снаружи попытки подбора пароля я закрыл фильтром, но внутренние пользователи от глюков используемого ПО или по своей неопытности страдают почём зря. Это-ж не дело — ради разблокировки очередного залётчика перезагружать сервер по десять раз на дню.
Ну или там... увеличить счётчик до потребного нам уровня.
wikipost
ac31.03.2014 22:12
У ваших пользователей проблемы из-за нелокальных IP в вашей ЛС (локальные IP давно исключаются из подобных автоблокировок, т.к. локальные "хакеры" доступны для других способов воздействия). Можно "пропатчить" встроенную функцию IsLanIP, чтобы ваши IP тоже считались локальными:

: MY_IsLanIP ( ip -- flag ) \ flag-истина, если клиент из локальной сети 10/8, 192.168/16, 172.16/12 \ в соответствии с RFC 1918 \ или localhost DUP 0x100007F = IF DROP TRUE EXIT THEN DUP 0xFF AND 10 = IF DROP TRUE EXIT THEN DUP 0xFFFF AND 0xA8C0 = IF DROP TRUE EXIT THEN DUP 0xF0FF AND 0x10AC = IF DROP TRUE EXIT THEN DUP 0xмаска AND 0xадрес = IF DROP TRUE EXIT THEN DROP FALSE ; ' MY_IsLanIP ' IsLanIP JMP

Где "маска" и "адрес" — соответствующие числа для вашей ЛС. Добавить в OnStartup.rules.txt.
wikipost
pavlad04.04.2014 07:34
ac пишет: Добавить в OnStartup.rules.txt

Поскольку ни в одном из трёх OnStartup.rules.txt упоминание IsLanIP не встречается, возникает дальнейшие вопросы: если подразумевается, что данную конструкцию надо вставить в один из OnStartup.rules.txt, то подскажите — в какое конкретно место.
wikipost
ac04.04.2014 07:53
Не упоминается, т.к. это встроенная функция.

Вставить можно в самое начало файла, например.
wikipost
Работает на Eserv/5.05567 (10.02.2020)