Páginas

Mostrando entradas con la etiqueta scrums. Mostrar todas las entradas
Mostrando entradas con la etiqueta scrums. Mostrar todas las entradas

sábado, 26 de diciembre de 2015

scums bruteforce OpenBSD pf


SCUMS soekris pf openbsd

IPs para las listas de bloqueo del firewall. Estas provienen de :

Redes de spam identificados por Spamhaus ( www.spamhaus.org )
Top atacantes listados por DShield ( www.dshield.org )
Abuse.ch
Más información disponible en www.emergingthreats.net

Descargar una lista.

# wget http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
# mv emerging-Block-IPs.txt scums
# mv scums /var/db/

Añadir entradas a /etc/pf.conf
# vim /etc/pf.conf




Recargar pf
# pfctl -f /etc/pf.conf

Comprobando si se han añadido las direcciones IP:
# pfctl -t scums -T show | wc -l
    1315

BRUTEFORCE

Este tutorial ilustra la protección de puerto 22 (SSH) a partir de los intentos no autorizados para escribir logins utilizando fuerza bruta.

Crear un archivo en el que almacenar las direcciones IP abusadoras.

# touch /var/db/bruteforce

Vamos a añadir entradas a /etc/pf.conf. max- src-conn 3 significa hasta 3 conexiones desde una sola dirección IP, -conn-tasa max-src 3/50 significa hasta 3 conexiones por dirección IP dentro de 50 segundos. El cuarto intento dentro de los 50 segundos acabará añadiendo y bloqueando la IP a la db bruteforce.

# vim /etc/pf.conf


Recargar pf

# pfctl -f /etc/pf.conf

Agregar una entrada en el crontab para añadir la IP en la tabla. Se añaden al archivo /var/db/bruteforce . ¿Cómo va a agregar la nuevoa IP Abuse?, todos los días a las 1:30 cron lo sumará a /var/db/bruteforce . ¿Por qué debería añadir IP?, para evitar perder la IP al recargar pf o reiniciar el sistema.

# crontab -e

30  7  *  *  *  /sbin/pfctl -t bruteforce -T show | grep -Eo "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" > /var/db/bruteforce

Comprobar que todo marcha como debiera.

# pfctl -t bruteforce -T show
   60.173.26.206
   113.73.61.113
   222.186.15.200
   222.186.31.237
   222.186.52.158

Redireccionar conexiones SSH: archivo /etc/pf.conf

Cada vez que una conexión entrante desde Internet hacia el puerto TCP 22 en la interfaz de salida, redireccionar a la IP 192.168.3.130 del cliente LAN.

pass in on egress inet proto tcp to (egress) port ssh rdr-to 192.168.3.130

ARCHIVO /etc/pf.conf

Bibliografía:
http://www.tw.openbsd.org/faq/es/faq6.html
http://www.bsdweb.org/bruteforce.html

OpenBSD es genial!.
Posted by at No hay comentarios:
Labels: , , , , , ,
Suscribirse a: Entradas (Atom)