SCUMS soekris pf openbsd
IPs para las listas de bloqueo del firewall. Estas provienen de :
Redes de spam identificados por Spamhaus ( www.spamhaus.org )
Top atacantes listados por DShield ( www.dshield.org )
Abuse.ch
Más información disponible en www.emergingthreats.net
Descargar una lista.
# wget http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
# mv emerging-Block-IPs.txt scums
# mv scums /var/db/
Añadir entradas a /etc/pf.conf
# vim /etc/pf.conf
Recargar pf
# pfctl -f /etc/pf.conf
Comprobando si se han añadido las direcciones IP:
# pfctl -t scums -T show | wc -l
1315
BRUTEFORCE
Este tutorial ilustra la protección de puerto 22 (SSH) a partir de los intentos no autorizados para escribir logins utilizando fuerza bruta.
Crear un archivo en el que almacenar las direcciones IP abusadoras.
# touch /var/db/bruteforce
Vamos a añadir entradas a /etc/pf.conf. max- src-conn 3 significa hasta 3 conexiones desde una sola dirección IP, -conn-tasa max-src 3/50 significa hasta 3 conexiones por dirección IP dentro de 50 segundos. El cuarto intento dentro de los 50 segundos acabará añadiendo y bloqueando la IP a la db bruteforce.
# vim /etc/pf.conf
Recargar pf
# pfctl -f /etc/pf.conf
Agregar una entrada en el crontab para añadir la IP en la tabla. Se añaden al archivo /var/db/bruteforce . ¿Cómo va a agregar la nuevoa IP Abuse?, todos los días a las 1:30 cron lo sumará a /var/db/bruteforce . ¿Por qué debería añadir IP?, para evitar perder la IP al recargar pf o reiniciar el sistema.
# crontab -e
30 7 * * * /sbin/pfctl -t bruteforce -T show | grep -Eo "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" > /var/db/bruteforce
Comprobar que todo marcha como debiera.
# pfctl -t bruteforce -T show
60.173.26.206
113.73.61.113
222.186.15.200
222.186.31.237
222.186.52.158
Redireccionar conexiones SSH: archivo /etc/pf.conf
Cada vez que una conexión entrante desde Internet hacia el puerto TCP 22 en la interfaz de salida, redireccionar a la IP 192.168.3.130 del cliente LAN.
pass in on egress inet proto tcp to (egress) port ssh rdr-to 192.168.3.130
ARCHIVO /etc/pf.conf
Bibliografía:
http://www.tw.openbsd.org/faq/es/faq6.html
http://www.bsdweb.org/bruteforce.html
OpenBSD es genial!.
No hay comentarios:
Publicar un comentario