Verhindern eines Sendmail-Brute-Force-Angriffs unter Solaris 10

948
Andrew Case

Ich möchte bestimmte Verbindungen, die dieselbe IP-Adresse verwenden, basierend auf einer Geschwindigkeit oder einem Verbindungslimit dynamisch blockieren. Ist dies mit Solaris / IPF oder einer sendmail-Erweiterung möglich? Ich möchte die Anmeldeversuche von sendmail begrenzen, um Brute-Force-Angriffe zu verhindern.

Unter Linux ist dies leicht auf der iptables Firewall-Schicht zu erledigen, aber ich konnte nicht herausfinden, wie man mit ipf die Firewall-Schicht einschränken kann. Sendmail hat ein integriertes Raten- und Verbindungslimit. Es scheint jedoch auf alle Benutzer anzuwenden zu sein. Wenn wir also ein DOS oder ein DDOS haben, würde dies alle Benutzer blockieren und nicht nur den Angreifer.

4
Wollen Sie wirklich, dass sendmail nicht im lokalen Modus ausgeführt wird? Nur den Remote-Zugriff auf den Dämon zuzulassen, kann selbst bei endlichen Anmeldeversuchen gefährlich sein. Ganz zu schweigen davon, dass heutzutage sogar Skript-Kiddies einen Brute-Force-Angriff mit sich ändernden IPs verwenden können, indem sie auf andere Botnets anderer Leute zurückgreifen. Blomkvist vor 13 Jahren 0
Ja, es muss wirklich aus der Ferne erreichbar sein. Ich verstehe die Auswirkungen auf die Sicherheit, ich muss sie nur mildern. Andrew Case vor 13 Jahren 0
Wann wird Sendmail überhaupt nicht im Fernzugriffsmodus verwendet? Wenn ich einen lokalen Mailserver brauche, würde ich nur Sendmail löschen und Exim installieren. RapidWebs vor 10 Jahren 0

1 Antwort auf die Frage

1
Andy Lee Robinson

Ich löse dies, indem ich eine weitere Regel in syslog / rsyslog zur Pipe-Mail hinzufüge. * -Nachrichten an ein FIFO in / etc / mail / mailban / syslog_fifo

Ich habe dann einen Daemon erstellt, um syslog_fifo zu lesen, die sendmail-Nachrichten zu analysieren und darauf zu reagieren, was gefunden wird. Die Historie der einzelnen IP-Adressen und -Aktivitäten wird durch eine 1,5 Millionen (!) -Zeilen-MySQL-Tabelle verfolgt. Beleidigende IP-Adressen werden in Abhängigkeit von verschiedenen Kriterien für verschiedene Zeiträume / Ports zu einer Verbotskette in iptables hinzugefügt, und das Leben geht süß weiter ...

Eine einfache Cron-Task wird stündlich ausgeführt, gibt alte IP-Adressen frei und aktualisiert den Status in der Datenbank entsprechend.

Jetzt ließ ich die Software automatisch Protokolldatensätze kompilieren und desinfizieren, finde die verantwortliche Adresse für den Missbrauch der IP-Adresse und schicke dann einen Bericht, der den ISP über unsichtbares Verhalten informiert. Es funktioniert in etwa 5% der Fälle und hilft ein wenig, das Netz aufzuräumen.

Dies erfordert auch eine schwarze Liste von straffälligen ISPs, die diese Art von Beschwerden nicht akzeptieren oder ignorieren, und dies entwickelt sich im Laufe der Zeit.

Ich verwende auch eine ähnliche Lösung für ssh-, pop3- und httpd-Angriffe.

Ich kenne keine andere Software, die dies tut, aber ich könnte Ihnen helfen, eine Lösung zu entwickeln, obwohl ich RedHat / Fedora am besten kenne.