Brute force distribuito... Cosa fare?

[masterx81]

Ciao a tutti...
Oggi mi sono divertito un po'
Premetto che ho appena attivato l'IPs sul mio cisco 1801
Ogni tanto entro nel router della mia ditta per vedere come sta, e scartabellando nelle tabelle nat ho trovato centinaia di connessioni sulla porta https del mio server web, dove ho una webmail OWA... Bah, strano, non ci dovrebbe essere nessuno connesso!
Controlllo sul server: un sacco di connessioni aperte sulla 443... Sempre piu' strano!
La cosa strana è che gli ip erano tutti diversi, e provenienti da pool completamente casuali (adsl smart, kataweb, telecom, tiscali, etc), subito ho iniziato a fare acl per bloccare i pool interessati, ma non è stata una soluzione lungimirante, in quanto di tanto in tanto sbucava qualche nuovo range e quelli vecchi non ci provavano piu'...
Credo fosse un brute force verso il mio owa, anche se ho pure la porta imap aperta: ma non facevano prima ad attaccarmi quella?
Per ora ho disattivato la 443 dal router in modo da respingere ulteriori attacchi, ma come faccio in futuro a prevenire queste situazioni?
Non che le psw della mia rete sono semplici, percio' non mi preoccupo piu' di tanto, ma mi da fastidio!!!!
E l'IPS non si è accorto di nulla, sembravano tentativi 'normali', e l'OWA non ha strumenti che ad esempio bloccano l'accesso dopo x tentativi sbagliati...

Ora ho staccato la porta (tanto in questi gg non mi serve la web mail), ed ho notato che gli attacchi sono finiti... Tra qualche gg la riattivo, tanto cmq riesco ad entrare via imap, pero' mi piacerebbe sapere come comportarmi in futuro...

Giaà che ci sono:
Poi l'altro giorno a casa mia ho notato che un ip 192.168.x.x cercava di collegarsi alla mia rete, ma l'acl anti spoofing ovviamente l'ha bloccata, ma come faceva un ip esterno in classe privata ad arrivare a me?
Ero convinto che i router di internet bloccassero quegli indirizzi!!!

Grazie a tutti per ogni suggerimento!

[masterx81]

Rilancio l'argomento gia' di per se interessante, aggiungendo una cosa... Sullo stesso server mi hano fatto un trapanamento di 'scatole' con attacchi multipli sul server FTP...
L'IPS della Cisco l'una cosa che mi ha detto a raffica durante l'attacco è stata:

Codice: Seleziona tutto

011533: Dec 27 00:48:21.515: %IPS-4-SIGNATURE: Sig:3167 Subsig:0 Sev:75 Format String in FTP username [212.73.134.200:35610 -> 192.168.200.1:21] VRF:NONE RiskRating:75

E raffiche di:

Codice: Seleziona tutto

011721: Dec 27 13:17:20.654: %IPS-4-SIGNATURE: Sig:3171 Subsig:1 Sev:50 Ftp Priviledged Login [88.45.48.131:54966 -> 192.168.200.1:21] VRF:NONE RiskRating:42

Questi attacchi non erano di tipo distribuito, ma provenivano da un solo ip, e l'IPS non ha fatto nulla...
Come posso configurarlo per filtrare questo tipo di traffico???

---EDIT---

Non me ne ero accorto, ma la signature 3171 ti butta subito giu' appena cerchi di entrare con l'administrator Percio' l'attacco ha avuto pericolosità abbastanza limitata
Quindi alla fine sul server IIS sono arrivati tentativi solo su nomi utenti di fantasia... Certo che mi piacerebbe poter utilzzare un blocco un po' piu' avanzato, tipo "se l'utente x sbaglia per 3 volte password blocca per 5 minuti", è anche vero' pero' che finchè l'attacco non finisce neppure l'utente legittimo puo' entrarci... E bloccare gli ip non seve, perchè come gia' visto in un attacco distribuito risulterebbe tutto vano...
Che bella gatta da pelare...

---RIEDIT---

Ho appena provato a fare 3 login ftp errati nella stessa connessione con lo stesso nome utente e dopo 3 tentativi mi ha buttato giu'... registrando l'intervento della signature 6250... Durante l'attaco la 6250 non ha fatto nulla perchè ogni tentativo era una nuova connesione...

Grazie mille e buone feste!!!

[Wizard]

Ciao masterx81, prova a documentarti un po' sul port knocking

[masterx81]

Mah, il port knoking (come descritto da wikipedia) mi sembra una cosa un po' complicata... Anche se effettivamente sembrerebbe un buon metodo per eliminare connessioni non volute...

Quindi per un attacco distribuito non c'e' nulla da fare?
E per un brute force su iis?

Anche se le pass sono sicure, mi da fastidio sprecare banda per quei fenomeni...

[Wizard]

Intanto dividiamo gli attacci brute force dai DDOS.

Per i brute force su servizi ftp (ad esempio) ci sn firme di IPS e blocchi configurabili a livello apllicativo mentre x gli attacci ddos (tipo syn flood) è molto + dura perchè tarare bene tutti i parametri per essere protetti e non avevre falsi positivi è lunga (lo sto facendo propprio ora però...).

Per i DOS e DDOS cmq sui router Cisco ci si protegge con i parametri del ip inspect

[masterx81]

Allora... A proposito... Ho un paio di domandine...
Come faccio ad attivare delle firme singolarmente?
Come faccio a configurare il comportamento che deve assumere ogni singola firma?
Come faccio ad attivare un set di firme in una direzione ed un'altro set di firme nell'altra?
Poi ho notato dei bug di alcune firme... compilando l'other_services https ad esempio non mi faceva piu' navigare in siti https (non ricordo in specifico che firma, ma aveva a che fare con l'openssl), poi mi riconosce come pericoloso del traffico generato da skype (Firma 5740), ed in piu' mi rileva come pericolosa l'applicativo p2p di radio deejay!!! (Firma 4050)
X ora per i ddos non mi preoccupo molto, ma sarebbe interessante trovare della documentazione, hai qualche consiglio?
X quello che riguarda i brute force, premetto che a livello applicativo avendo iis non posso fare molto... Poi mi piacerebbe bloccare direttamente il traffico, piuttosto che impegnare il mio server...
Per il DOS e DDOS quindi interviene il CBAC (con tutti i suoi parametri da configurare...)

Grazie mille per tutti i suggerimenti!!!

[Wizard]

Una cosa x volta, x gli attacchi di tipo network dos e ddos si ci può pensare il inspect se applicato in entrata alla int pubblica (atm0.1, serial, dialer...) ma x fare una cosa come si deve occorre settare i parametri in base alla tua rete. Ci sono da fare un po' di calcoli come insegna mamma Cisco.

Nel caso di casa mia (uso casalingo e p2p) queste è la configurazione attuale:

Codice: Seleziona tutto

ip inspect log drop-pkt
ip inspect max-incomplete low 118
ip inspect max-incomplete high 400
ip inspect one-minute high 1500
ip inspect one-minute low 1200
ip inspect hashtable-size 2048
ip inspect tcp finwait-time 10
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 200 block-time 30
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS-IN tcp
ip inspect name IDS-IN udp

[Wizard]

Per IPS leggi bene qui

http://www.cisco.com/en/US/docs/ios/sec ... apter.html

[Leviatano]

come spiegava giustamente Wizard, un IPS è lo strumento indicato per prevenire attacchi brute force.
Oppure se il server può gestirlo, configurare un treshold di risposte dopodiché blocco temporaneo per l'ip incriminato.
In questo i sistemi Linux spadroneggiano; tuttavia esistono sul mercato altre alternative anche professionali per securizzare il login dei propri servizi. Io personalmente utilizzo e mi trovo molto bene con Sonicwall

buon lavoro

Lev

[Wizard]

Come apparati che fanno solo IPS attualmente il top è TippingPoint, subito sotto viene IBM (ex ISS).

Lato FW con gli ultimi sw di Juniper si riesce a fare molto, Cisco, mi dispiace dirlo ma è ancora un po' indietro anche se sta migliorando