Brute Force saldırılarını iptables ile engelleyin
Brute Force saldırısı(Brute Force Attack) diğer bir deyişler Anahtar Arama Saldırısı ( exhaustive key search) hedefin özel alanlara sızmak için deneme- yanılma yolu o servise ulaştıracak giriş bilgilerini tespit edip sisteme sızma saldırılarıdır.Ayrıntılı bilgi için bakınız ***
Sunucular internet dünyasına açıldığı takdirde bu tip saldırılardan nasibini alması kaçınılmazdır.Örnek bir “brute force” saldırısı:
May 05 01:23:23 zeus sshd[12355]: Illegal user office from 2**.1**.**.*** May 05 01:23:33 zeus sshd[12755]: Failed password for illegal user office from 2**.1**.**.*** port 53033 ssh2 May 05 01:24:10 zeus sshd[12857]: Illegal user samba from 213.191.74.219 May 05 01:24:16 zeus sshd[12357]: Failed password for illegal user samba from 2**.1**.**.*** port 53712 ssh2 May 05 01:24:19 zeus sshd[12659]: Illegal user tomcat from 2**.1**.**.*** May 05 01:24:25 zeus sshd[12459]: Failed password for illegal user tomcat from 2**.1**.**.*** port 54393 ssh2 May 05 01:24:34 zeus sshd[12361]: Illegal user webadmin from 2**.1**.**.*** Jul 28 01:24:43 zeus sshd[12361]: Failed password for illegal user webadmin from 2**.1**.**.*** port 55099 ssh2 Yukarda gördüğünüz gibi saldırgan rastgele kullanıcı adı ve parolalarla “ssh” servisine sızmaya çalışıyor. Bu ve bu gibi brute saldırıları iptables‘e kural ekleyerek engellemeye çalışalım. ( Daha önceki bir yazıda ssh güvenliği ilgili not yazmıştım**O yazıya göz atabilirsiniz.)iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j DROP Yukardaki iptables kurallarındaki “eth0” arayüzünü,”22” portunu kendi sisteminizdeki göre düzenleyiniz. Bu kuralda ssh servisimizi 1 dakika içerisinde 5 defa giriş izni vermiş olduk.Eğer 5′ten fazla giriş olduğu takdirde iptables “ssh” ulaşımını engelleyecek.Bu kuralın normal ssh ile bağlanan kullanıcılar için bir zararı olmayacak fakat durmadan atak yapacak olan saldırganı engelleyecektir.SSHatter ile kendinize saldırın!
Şimdi koyduğumuz kuralı test edelim.Bu kuralı test etmek için kendi kendimize saldıralım. ”SSH” servislerine “brute force attack” yapmak için kullanılan “SSHatter”ı kullanarak koyduğumuz kuralı test edelim. SSHatter‘ı “freshmeat” sitesinden edinebilirsiniz.SSHatter‘ı indirin . SSHatter’i indirdikten sonra uygun bir yere açalım.$ tar zxvf SSHatter-1.0.tar.gzSSHatter’ın iki tane bağımlılığı bulunuyor.Bunlar ForkManager ve Net-SSH-Perl bunları paket yöneticisi ile indirebiliriz.# emerge -av Parallel-ForkManager( Debian kullanıcıları #apt-get install libparallel-forkmanager-perl )# emerge -av net-ssh-perlArtık saldırıya hazırız.SSHatter dizinine geçelim.$ cd SSHatter-1.0/src/$ ls Saldıraya başlamadan önce deneme yapacağı birkaç username belirleyelim.Bunun için “users” adlı bir dosya oluşturup içine ekleyelim.Her satıra bir kullanıcı adı yazın.$nano userselma armut erik ….. gibi örnek kullanıcı adları yazıp kaydedin.Şimdi hedefi belirleyelim.Bunun için ise “targets” adlı bir dosya oluşturup içine hedefi yazalım.$ echo 127.0.0.1 > targetsZaten “src” dizininde “passwords” adlı bir dosyada örnek parolalar bulunmakta,kendiniz ekleme de yapabilirsiniz. Artık “brute force” atak yapmaya hazırız fakat kendi kendimizi de banlamamak için “cron” a 5 dakika sonra “iptables” kurallarını sıfırlamasını söyleyelim.*/5 * * * * /sbin/iptables -FYukardaki satırı “cron”a eklemeyi unutmayın.Şimdi atağı başlatabiliriz.Örnek atak komutu:$ perl SSHatter.pl -x 1 -t targets -u users -p passwordsAtak başladı ve 5 deneme girişinden sonra iptables tarafından banlanması gerekir ve 5 dakika sonra bu kural iptal olacak ve tekrar erişime açılacak. Bu eklediğimiz iptables kuralının her açılışta aktif olmasını istiyorsanız basit script yazarak sistem açılışına ekleyebilirsiniz.Eğer daha kolay yollar arıyorsanız fail2ban gibi yazılımlara bakabilirsiniz. Bu sitede fail2ban hakkında güzel bir yazı mevcut.
Comments