Sentry: програма за борба с грубата сила
Codeby web-security - нов курс от Codeby Security School
Представяме на вашето внимание нов курс от екипа Кодът - "Тестване на проникване на уеб приложения от нулата". Обща теория, Подготовка на работната среда, Пасивно размиване и пръстови отпечатъци, Активно размиване, Уязвимости, След експлоатация, Инструменти, Социално инженерство и др. Повече информация .
sentry - това съкращение означава "безопасна и ефективна защита срещу атаки на груба сила", тоест безопасна и ефективна защита срещу груби сили (ssh, FTP, SMTP и други).
Описание на часовия
Безопасно
За да се предотврати случайно блокиране, Sentry поставя на бял списък IP адреси, които са се свързвали повече от 3 пъти и поне веднъж успешно. Сега вашият колега с множествена склероза зад офис NAT рутер никога повече няма да бъде блокиран от вашата система. И вашият администратор, чийто крив скрипт неуспешно се опита да влезе 12 пъти на всеки 2 секунди, вече няма да претърпи такава съдба.
Sentry включва поддръжка за добавяне на IP към защитната стена. Включена е поддръжка за IPFW, PF, ipchains. Поддръжката на защитната стена е деактивирана по подразбиране. Това е така, защото правилата на защитната стена могат да затворят съществуващите сесии за хоста (важно за потребителите на IPFW). Добавете вашия IP към белия списък (свържете се 3 или повече пъти или използвайте бял списък), преди да активирате опцията защитна стена.
Sentry разполага с изключително проста IP база данни за проследяване. Благодарение на това е много лесно за системния администратор да го преглежда и модифицира, включително с помощта на команди и скриптове на черупки. Вижте раздела „Примери“.
Sentry е написан на perl, който се инсталира навсякъде, където е sshd. Няма зависимости. Инсталирането и внедряването е възможно най-лесно.
Sentry поддържа блокиране на опити за свързване с помощта на различни TCP обвивки и няколко популярни защитни стени. Sentry може лесно да се подобри, за да поддържа допълнителни списъци с блокове.
Sentry е написан за защита на демона SSH, но се използва и с други демони. Както вече беше описано, основната платформа, използвана за атаката, е мрежа от ботове, състояща се от персонални компютри, използвани с високоскоростни интернет връзки. Тези ботове се използват за извършване на SSH атаки, както и за изпращане на спам. Блокирането на ботове предотвратява много вектори на атака.
Стилът на кодиране на Sentry улеснява вмъкването на код за допълнителна функционалност.
Ефективно
Основната цел на Sentry е да минимизира ресурсите, които атакуващият може да открадне, това се постига чрез консумация на самата програма минимално количество ресурси. Повечето приложения за блокиране на груба сила (denyhosts, fail2ban, sshdfilter) трябва да се изпълняват като демони, наблюдаващи опашката на регистрационния файл. Това изисква езиковият интерпретатор да работи винаги, консумирайки поне 10MB RAM. Една желязна машина с много виртуални сървъри ще загуби стотици мегабайта за защита от демони.
Sentry използва ресурси само когато е осъществена връзка.
Paranoid - Курс от Codeby School School
Представяме на вашето внимание курс от екипа codeby - „Набор от мерки за защита на лични данни, анонимност в Интернет и не само“ Повече информация .
В най-лошия сценарий ресурсите ще бъдат загубени за първата IP връзка, тъй като интерпретаторът на perl ще бъде включен. За повечето връзки Sentry ще маркира файл, статистика за друг файл и ще излезе.
Веднага щом IP бъде добавен към черния списък за нарушение, независимо дали с tcpd или защитна стена, консумираните ресурси ще бъдат намалени до почти нула.
Sentry не е най-ефективният инструмент за отчитане. Концепцията „един файл на IP“ е чудесна минималистична опция за регистриране, поставяне в черния списък, но почти всяка база данни ще покаже най-доброто представяне за отчитане. Трябва да изчакате няколко секунди, за да изпълните командата с ключа —Доклад.
Инсталиране на Sentry
Стартиране на Sentry:
Пускането на часовия за първи път ще направи:
- създаване на база данни на часови
- инсталиране на perl скрипт
- ще ви помоли да редактирате /etc/hosts.allow, като вмъкнете там два реда, които ще го активират.
Актуализация на Sentry
Лесният начин
Усложнен начин
Изтеглете, както е написано по-горе.
Намерете всички разлики в настройката
Резюме на часове
Спорни аргументи
черен списък - отхвърляне на всички бъдещи връзки
бял списък - приемете всички бъдещи връзки, премахнете IP от черните списъци и добавете имунитет към него от последващи тестове при свързване.
премахване на премахване премахване на IP от бели и черни списъци -. Това е полезно за тестване на часови.
connectregister - връзки за един IP. Този метод ще поддържа списък на опитите и техните времена.
актуализация - проверява за най-новата версия на sentry и актуализации, ако има налични актуализации.
Как върви
Когато влезе връзка, методът на свързване ще направи дневник за опита и времето му. Ако IP е в белия или черния списък, програмата веднага ще излезе.
След това караулът ще провери дали този IP е виждан повече от три пъти. Ако е така, тогава регистрационните файлове ще бъдат проверени, за да се определят успехът, неуспехът, "палавите" (палави) опити от този IP. Ако има успешни опити за влизане, IP се добавя към белия списък и програмата приключва.
Ако няма успешни опити за влизане и това е непослушен IP адрес, той се добавя към черния списък. Ако няма успешни и "пакостливи" опити, но са направени повече от 10 опита за свързване, IP ще бъде в черния списък.
Безопасна сделка с поръчителя Codeby
- StokoDerm (Stockoderm) - крем за ръце Концерн Sapsan
- Блог на AlexXF - Архив на блогове - Защо набиращите програми на други хора не работят
- Academie Body - експертни програми за усъвършенстване на тялото
- 3d Ciclop скенер Направи си сам сглобка на Циклоп и работи с програма за лазерно сканиране
- Saezuri е най-доброто приложение в Twitter