Комментарии 10
login block-for 300 attempts 3 within 30
login delay 5
login quiet-mode access-class 23
access-list 23 permit your_ip
так не проще?)
Вообще то — не проще.
В Вашем примере анализируются попытки обращения к самому роутеру, и к нему же блокируется доступ.
В описанном случае, можно анализировать любые адреса (даже которые ещё не задействованы) и любые порты (даже на которых нет сервисов).
Допустим, за роутером куча серверов и ломятся только на них. На сам роутер не лезут.
И блокировка может быть более творческой.
В Вашем примере анализируются попытки обращения к самому роутеру, и к нему же блокируется доступ.
В описанном случае, можно анализировать любые адреса (даже которые ещё не задействованы) и любые порты (даже на которых нет сервисов).
Допустим, за роутером куча серверов и ломятся только на них. На сам роутер не лезут.
И блокировка может быть более творческой.
НЛО прилетело и опубликовало эту надпись здесь
не совсем понятна цель упражнения… Блочить всех кто постучался на порт 23? и потом чистить по крону? не проще ли просто зарезать этот порт рази навсегда по правилу — запрещено все, что явно не разрешено?
Попытаюсь объяснить ещё раз.
Цель — блочить всех, кто постучался куда не нужно (не обязательно 23-й).
Причем блочить их даже там, куда всем остальным — можно.
Например у нас есть группа серверов.
Всем открыты порты 80 и 443. 23-й и 22-й закрыты для всех.
Если сканер стукнулся в 22-й порт, то ему временно будет закрыт доступ и к серверам по 80-му и 443-му порту.
То есть мы прервали сканирование на раннем этапе.
В основном это годится для блокировки автоматических сканеров.
И значительно разгружает логи более серьезных средств безопасности.
Цель — блочить всех, кто постучался куда не нужно (не обязательно 23-й).
Причем блочить их даже там, куда всем остальным — можно.
Например у нас есть группа серверов.
Всем открыты порты 80 и 443. 23-й и 22-й закрыты для всех.
Если сканер стукнулся в 22-й порт, то ему временно будет закрыт доступ и к серверам по 80-му и 443-му порту.
То есть мы прервали сканирование на раннем этапе.
В основном это годится для блокировки автоматических сканеров.
И значительно разгружает логи более серьезных средств безопасности.
Для некоторых роутеров логи дневные составляют десятки и сотни мегабайт чистого текста, а строк блокировок может быть десятки и сотни тысяч. Хороший вырисовывается сценарий для DOSа на железку с подобной педалью.
Скорость записи лога ограничена, и регулируется командой logging rate-limit.
Вроде в статье этого нет. Но пусть будет. Вы столкнетесь с необходимостью компромисса между защитой control plane, что бы ЦПУ чрезмерно не поплохело и потерями записей в журнале. И так это костыль, а с этими оговорками совсем ставится под вопрос целесообразность таких танцев. А еще, если это вдруг железо, где АЦЛ работают не на ЦПУ общего назначения, а аппаратно, благодаря TCAM-ресурсу, можно нашлепать этих правил, что TCAM исчерпается. Да, можно постараться везде подстраховаться и все предусмотреть, но выглядит это для продакшна не айс.
Вся ценность статьи в примере парсинга, за это спасибо. А сам подход из мира линукса и микротиков. Так еще лет двадцать назад делали с логами иптаблеса, парсили перлом, наполняли цепочки… Старые песни о главном, короче.
Вся ценность статьи в примере парсинга, за это спасибо. А сам подход из мира линукса и микротиков. Так еще лет двадцать назад делали с логами иптаблеса, парсили перлом, наполняли цепочки… Старые песни о главном, короче.
Возраст обсуждаемого подхода гораздо больше возраста fail2ban. Софт этот аж в 2006 появился, вроде по его хистори.
Кстати, самый главный вопрос — а в чем тут honeypot-ость? Все же это вполне устоявшийся термин, который подразумевает несколько более широкий функционал и несколько даже иной.
Ничего не эмулируется, самое главное — никакой содержательной информации о методах взлома и тактике злоумышленника не соберешь. Это простейшая IPS с простейшими правилами. Типа снорта, только с тремя-четырьмя правилами :) Но снорт ни разу ни хонипот.
Кстати, самый главный вопрос — а в чем тут honeypot-ость? Все же это вполне устоявшийся термин, который подразумевает несколько более широкий функционал и несколько даже иной.
Ничего не эмулируется, самое главное — никакой содержательной информации о методах взлома и тактике злоумышленника не соберешь. Это простейшая IPS с простейшими правилами. Типа снорта, только с тремя-четырьмя правилами :) Но снорт ни разу ни хонипот.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Реализация honeypot на маршрутизаторах Cisco