Pik-9
Tripel-As
Hallo Leute,
ich bin gerade dabei, mir einen FTP-Server mit OpenBSD 5.0 aufzusetzen. Eigentlich läuft schon alles so weit, allerdings würde ich gerne Bruteforce-Attacken auf das Passwort vorbeugen. Jetzt habe ich im Internet und in einem Buch über OpenBSD gelesen, wie das gehen soll; nur leider funktionieren diese Tipps nicht so, wie ich mir das vorstelle...
Die Technik ist die, dass man eine Tabelle (eine Blacklist) mit "bösen" IPs anlegt und von dieser Tabelle die Verbindung blockiert. Wenn nun ein Host eine gewisse Grenze überschreitet, wird seine IP in diese Tabelle geschrieben. Nun wollte ich das mal testen und habe meinen eigenen Server mit ncrack angegriffen.
Leider funktionierte die Sicherung nicht; die IP meines Rechners ist nicht in die Blacklist gekommen!
Ich poste hier mal meine /etc/pf.conf:
Kommt einer von euch vielleicht drauf, was ich übersehen habe?
PS: Ihr braucht mir nicht den root-und-keinen-Plan-Link zu schicken; den kenne ich schon und mein Server ist nur eine kleine Spielerei innerhalb meines Heimnetzes.
ich bin gerade dabei, mir einen FTP-Server mit OpenBSD 5.0 aufzusetzen. Eigentlich läuft schon alles so weit, allerdings würde ich gerne Bruteforce-Attacken auf das Passwort vorbeugen. Jetzt habe ich im Internet und in einem Buch über OpenBSD gelesen, wie das gehen soll; nur leider funktionieren diese Tipps nicht so, wie ich mir das vorstelle...
Die Technik ist die, dass man eine Tabelle (eine Blacklist) mit "bösen" IPs anlegt und von dieser Tabelle die Verbindung blockiert. Wenn nun ein Host eine gewisse Grenze überschreitet, wird seine IP in diese Tabelle geschrieben. Nun wollte ich das mal testen und habe meinen eigenen Server mit ncrack angegriffen.
Code:
ncrack ftp://1.2.3.4
Ich poste hier mal meine /etc/pf.conf:
Code:
device="xl0"
local_sub="192.168.2.0/8"
table <bruteforce> persist
block in all
pass out all
pass in on $device proto tcp from $local_sub to self port ssh
pass in on $device proto tcp from any to self port ftp
pass in on $device proto tcp from any to self port >1023
block in quick on $device proto tcp from <bruteforce> to self port 21
pass in on $device proto tcp from any to self port 21 \
keep state (max-src-conn 5, max-src-conn-rate 3/20, overload <bruteforce> flush global)
Kommt einer von euch vielleicht drauf, was ich übersehen habe?
PS: Ihr braucht mir nicht den root-und-keinen-Plan-Link zu schicken; den kenne ich schon und mein Server ist nur eine kleine Spielerei innerhalb meines Heimnetzes.