Nastavení fail2ban pro ochranu hvězdičky. Ochrana Asterisk před hackováním Ochrana Asterisk před neoprávněným připojením

Nastavení fail2ban pro ochranu hvězdičky. Ochrana Asterisk před hackováním Ochrana Asterisk před neoprávněným připojením

V dnešním článku si povíme, jak ochránit IP ústřednu před neoprávněným přístupem a dáme si pár jednoduchých tipů, pomocí kterých můžete výrazně zvýšit zabezpečení své telefonní ústředny. Příklady, které budou uvedeny v tomto článku, se týkají IP-PBX založených na Asterisk, ale mnoho z nich platí pro všechny VoIP-PBX bez výjimky.

Nejprve pojďme zjistit, jaké bezpečnostní díry ohrožují a jakým následkům čelí podnik, pokud útočník získá přístup k IP PBX.

Hackerská hrozba

Na rozdíl od hacknutí osobního počítače nebo pošty znamená hacknutí PBX pro hackera bezplatné volání, za které bude muset majitel PBX zaplatit. Existuje mnoho případů, kdy hackeři utratili obrovské množství peněz poté, co strávili jen několik hodin na hacknuté ústředně.

Cílem útočníků jsou zpravidla IP ústředny, které jsou přístupné z veřejné sítě. Pomocí různých SIP skenerů a zkoumání zranitelnosti systému si vybírají místa k útoku. Výchozí hesla, otevřené SIP porty, špatně spravovaný firewall nebo jeho absence – to vše může způsobit neoprávněný přístup.

Naštěstí lze všechny tyto zranitelnosti opravit a zcela zdarma.

Jednoduché kroky ke zlepšení zabezpečení

Jak vidíte, ochrana IP PBX před vniknutím zvenčí není tak obtížná, pokud se budete řídit doporučenými tipy, můžete výrazně zvýšit bezpečnost a spolehlivost systému.

Telefonování může být levné
a funkční!

Společnost IT KUB poskytuje širokou škálu služeb pro instalaci, integraci a konfiguraci IP telefonie

IT služby mohou být vysoce kvalitní!

chmod 755 install_apf_bfd.sh

./install_apf_bfd.sh

Konfigurace APF se nachází v /etc/apf/conf.apf

Chcete-li začít upravovat soubor, použijte následující příkaz:

nano /etc/apf/conf.ap F

Nastavte IFACE_IN a IFACE_OUT pro síťové rozhraní směrem k Internetu. Pro síťové rozhraní obrácené k místní síti nastavte IFACE_TRUSTED.

SET_TRIM="0"

APF má schopnost podporovat QoS. Pro SIP a IAX musíte nainstalovat následující:

T.O.S. _8="21,20,80,4569,5060,10000_20000"

Pokud jste změnili port SSH, budete muset upravit soubor conf.apf tak, aby odpovídal tomuto novému portu.

HELPER_SSH_PORT="2222"

Nezapomeňte nahradit 2222 správným číslem portu, na kterém se rozhodnete spouštět SSH.

Příchozí filtrování se používá k otevření portů pro přístup; TCP a UDP mají samostatné nastavení. Pro Asterisk (Trixbox) musí být otevřené následující porty; jsou uvedeny TCP i UDP. Pokud nepoužíváte TFTP, neotevírejte port 69. Nezapomeňte změnit port SSH. V opačném případě nebudete moci získat přístup; zde používáme port 2222 z našeho posledního příkladu. Do této instalace jsme nezahrnuli porty IAX. Existuje snadný způsob, jak zajistit, aby IAX mohli používat pouze určití hostitelé, kterým se budeme věnovat později. To je výhodné, pokud používáte IAX k umístění mezistaničních kanálů, které jsou pro vnější svět neviditelné.

IG_TCP_CPORTS="2222,69,80,5060,6600,10000_20000"
IG_UDP_CPORTS="69,5060,10000_20000"

Nepoužívám odchozí filtrování, takže to není zahrnuto v tomto článku. Je nastaveno na EGF="0", ve výchozím nastavení zakázáno.

Chcete-li zobrazit seznam možností příkazového řádku, spusťte apf bez příznaků.

#apf
apf(3402): (glob) stavový protokol nenalezen, vytvořen
APF verze 9.6< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Copyright (C) 1999-2007, R-fx Networks< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Copyright (C) 2007, Ryan MacDonald< This email address is being protected from spambots. You need JavaScript enabled to view it. >
Tento program může být volně redistribuován za podmínek GNU GPL
použití /usr/local/sbin/apf
-s|--start ........................... načte všechna pravidla brány firewall
-r|--restart ...................... zastavit (vyprázdnit) a znovu načíst pravidla brány firewall
-f|--stop...... ................. zastavit (vyprázdnit) všechna pravidla brány firewall
-l|--list ........................... seznam všech pravidel brány firewall
-t|--status ........................ výstup protokolu stavu brány firewall
-e|--refresh ........................... obnovit a vyřešit názvy DNS jako důvěryhodné
pravidla
-a HOST CMT|--allow HOST COMMENT ... přidat hostitele (IP/FQDN) do
allow_hosts.rules a okamžitě načtěte nové pravidlo do firewallu
-d HOST CMT|--deny HOST COMMENT .... přidat hostitele (IP/FQDN) do
deny_hosts.rules a okamžitě načtěte nové pravidlo do firewallu
-u|--remove HOST ................... odebrat hostitele z
*_hosts.rules a okamžitě odstraňte pravidlo z firewallu
-o|--ovars ................................. vypíše všechny možnosti konfigurace

Ke spuštění APF používáme následující příkazy:

# apf -s
apf(3445): (glob) aktivace firewallu
apf(3489): (glob) určeno (IFACE_IN) eth0 má adresu 192.168.1.31
apf(3489): (glob) určeno (IFACE_OUT) eth0 má adresu 192.168.1.31
apf(3489): (glob) načítání preroute.rules http://r-fx.ca/downloads/reserved http://feeds.dshield.org/top10-2.txt
http://www.spamhaus.org/drop/drop.lasso
apf(3489): (pokles) analýza drop.lasso do /etc/apf/sdrop_hosts.rules
apf(3489): (pokles) načítání sdrop_hosts.rules
apf(3489): (glob) načítání běžných drop portů
..........oříznuto pro tento dokument.........
apf(3489): (glob) výchozí (vstupní) pokles vstupu
apf(3445): (glob) firewall inicializován
apf(3445): (glob) !!REŽIM VÝVOJE ZAPNUT!! - firewall se vyprázdní
každých 5 minut.

Vidíme, že APF se spustilo, stáhlo několik pravidel z dshield.org a spamhaus.org. Nyní otestujeme přihlášení na server Asterisk (Trixbox) přes SSH, abychom se ujistili, že jste vše nakonfigurovali správně. Pokud se nemůžete připojit, musíte počkat 5 minut a pak APF blok odstraní. Jakmile si budete jisti, že se můžete přihlásit přes SSH, můžeme změnit conf.apf DEVEL_MODE = "1" na DEVEL_MODE = "0" a restartovat APF. APF se spustí a nevydá varování, že je v DEVELOPMETN_MODE.

APF: dodatečné ladění

Nastavení zde nekončí, pokud chcete připojit své servery Asterisk (Trixbox) přes IAX. K tomu budete muset přidat porty IAX do conf.apf. Tato možnost bude fungovat se statickými IP adresami nebo DynDNS. Příkaz apf -a umožňuje přístup pro konkrétní IP adresu. To globálně umožní hostiteli připojit se k Asterisk (Trixbox) obcházením pravidel brány firewall.

apf -a 192.168.1.216

To umožní systému 192.168.1.216 připojit se k jakémukoli portu na serveru chráněném bránou firewall, čímž se obejdou pravidla brány firewall. Pokud používáte APF na obou Asterisk (Trixbox), ujistěte se, že proveďte totéž na druhém hostiteli pomocí správné IP adresy.

APF také umožňuje správci systému zablokovat hostitele nebo celou podsíť. To je výhodné, pokud vidíte, že se někdo pokouší připojit k vašemu počítači přes FTP, Telnet, SSH atd. Chcete-li zablokovat konkrétního hostitele, použijte následující: ujistěte se, že používáte adresu IP, kterou chcete blokovat.

apf -d 192.168.1.216

Chcete-li zablokovat úplnou podsíť (CIDR):

apf -d 202.86.128.0/24

APF nepodporuje QoS pro UDP pakety. pouze TCP. Existuje snadný způsob, jak to opravit. V /etc/apf/internals je soubor functions.apf. Tento soubor musíme upravit ručně. Existuje několik míst, kde musíme přidat jeden řádek. Hledáme sekci TOS_ v souboru functions.apf. Bude to vypadat takto:

pokud [! "$TOS_0" == "" ]; pak
pro i v `echo $TOS_0 | tr "," " ""; dělat
i=`echo $i | tr "_" ":"".
$IPT -t mangle -A PREROUTING -p tcp --sport $i -j TOS --set-tos 0
$IPT -t mangle -A PREROUTING -p udp --sport $i -j TOS --set-tos 0
hotovo
fi

Tento extra řádek musí být vytvořen pro všechny bity TOS, které používáte.

B.F.D.

Detekce hrubé síly (slovníkového útoku) slouží k odhalení neoprávněných pokusů o přihlášení.

Konfigurační soubor pro BFD se nachází v /usr/local/bfd a jmenuje se conf.bfd. Tento soubor, stejně jako soubor APF, obsahuje mnoho komentářů. Podíváme se jen na některá nastavení.

První konfigurační proměnná, na kterou se podíváme, je TRIG; toto je počet neúspěšných pokusů, než je útočník zablokován. Výchozí hodnota je 15. Mějte na paměti, že se jedná o počet pokusů nikoli z jednoho účtu, ale z jedné IP adresy. Pokud tedy dojde k 15 neúspěšným pokusům o přihlášení z 1 IP adresy pomocí různých účtů, bude stále zablokována.

BFD má příjemnou funkci - odesílá e-maily, když je detekována hrubá síla. Chcete-li tuto možnost povolit, nastavte EMAIL_ALERTS na 1; nezapomeňte uvést adresu, na kterou chcete dostávat upozornění - EMAIL_ADRESS.

BFD spouští cron každé 3 minuty a nachází se v /etc/cron.d.

Seznam zakázaných IP adres můžete získat pomocí příkazu:

Ke spuštění BFD použijte následující příkaz:

bfd -s

Resumé

Tím je náš přehled zabezpečení Asterisk (Trixbox) dokončen.

Tento článek pojednává pouze o základních principech ochrany Asterisk (Trixbox). Budování bezpečných VoIP systémů se samozřejmě neomezuje pouze na toto.

Původní článek si můžete přečíst v odkazu

Datum: 09:56 28.07.2018

Na internetu je mnoho příběhů o hacknutí hvězdičky a následném potrestání ze strany operátora. Někde byl příběh o jisté malé společnosti v Austrálii, které se podařilo prohrát 15 000-20 000 dolarů. Myslím, že nikdo nechce být v takové situaci. Je mnohem lepší, bez čekání na potíže, provést určitý soubor opatření, která výrazně sníží počet možností hackování a minimalizují nebezpečí.

Nestandardní port místo 5060

Pokud je to technicky možné, VŽDY změňte standardní port 5060 na jakýkoli jiný. Čím více se liší od standardního, tím lépe. Útočníci velmi rychle najdou vaši hvězdičku pouhým skenováním portů pomocí řady adres. To se stane velmi rychle - první pokusy o uhodnutí mého hesla byly zjištěny do 3 dnů po spuštění hvězdičky na internetu.
Port je nakonfigurován v souboru sip.conf v sekci:

Bindport=5060 => bindport=5172

Po takových akcích se počet sběračů sníží téměř na nulu.

Nastavení firewallu

Zakazujeme se připojovat k portu Asterisk zvenčí – tím zakážete schopnost hádat hesla. Někteří poskytovatelé SIP telefonie však nefungují, pokud se sami nedostanou na váš port 5060 – v tomto případě musíte povolit přístup k tomuto portu ze serveru tohoto poskytovatele. Jednoho dne jsem tedy několik dní přemýšlel, proč není spojení s Beeline, pak jsem otevřel jejich IP přístup na můj port 5060 a spojení se objevilo.

Zakázat hovory hostů

Pokud nepotřebujete přijímat hovory bez registrace, nezapomeňte v sip.conf zakázat následující možnost:
allowguest=ano => allowguest=ne ; Povolit nebo odmítnout hovory hostů (výchozí je Ano)

Zakázat upozornění na nesprávné heslo

Téměř každý má účty s hvězdičkami typu 100, 200, 700 atd. Ve výchozím nastavení Asterisk generuje jednu chybu o nesprávném hesle pro existující účet a druhou pro neexistující účet. S pomocí speciálních software na hádání hesel, může útočník rychle vyzkoušet všechna krátká čísla a uhodnout hesla pouze pro existující účty, které odpověděly „nesprávným heslem“. Abyste tomu zabránili, změňte volbu v sip.conf:
alwaysauthreject = ne => alwaysauthreject = ano
Po této konfiguraci dá Asterisk stejnou odpověď na jakékoli nesprávné autorizace.

K účtům používáme složitá hesla

Jakékoli heslo lze uhodnout, otázkou je pouze čas. Vzhledem k tomu, že nastavení zařízení SIP se provádí jednou a na dlouhou dobu, nešetřete složitými hesly. Pro sebe používám dlouhá hesla s kombinacemi velkých a malých písmen + číslic takto: secret=f64GCD74ssdZ42

UJISTĚTE SE, že jste odstranili všechna hesla, která odpovídají přihlašovacím údajům. Toto jsou první hesla používaná pro hesla.

Pro účty používáme deny/permit

Nezbytnost! Pro všechny účty, které nevyžadují připojení k internetu, uvádíme následující řádky:

Odepřít=0.0.0.0/0.0.0.0 povolení=10.1.1.1/24 povolení=10.1.2.1/24

Kde 10.1.1.1,10.1.2.1 jsou rozsahy lokálních adres, ze kterých bude navázáno spojení. hvězdička nebude přijímat připojení z jiných adres.

Nastavení limitu hovorů

Call-limit=1

Výchozí rozšíření nepoužíváme zbytečně

Nepotřebujeme vše, co by mělo být ve výchozím nastavení:

Prodloužit => _X.,1,Zavěšení

Neděláme jedno univerzální pravidlo pro všechny hovory

Řekněme ne pravidlům jako:

Exten => _X.,1,Dial(SIP/$(EXTEN)@operator)

Přehledně zapisujeme všechny potřebné kombinace čísel přenášených operátorovi. Pokud není potřeba využívat mezinárodní komunikaci, vůbec pro ni nepopisujte pravidla. Téměř všechny případy hackování se používají k telefonování do zahraničí.

;Rozšíření tísňových služeb => _0X,1, Vytočit(SIP/$(EXTEN)@operátor) prodloužení => _0X,n, Zavěsit ;Moskva prodloužení => _8495XXXXXXX,1, Vytočit (SIP/$(EXTEN)@operátor) prodloužení => _8495XXXXXXX,n, prodloužení zavěsit => _8499XXXXXXX,1, vytočit (SIP/$(EXTEN)@operátor) prodloužit => _8499XXXXXXX,n, prodloužit zavěsit => _XXXXXXX,1, vytočit (SIP/$(EXTEN)@operátor ) exten => _XXXXXXX,n, Zavěšení ;Meziměstské Rusko/Mobilní prodloužení => _8XXXXXXXXXX,1, Vytočit (SIP/$(EXTEN)@operátor) prodloužení => _8XXXXXXXXXX,n, Zavěsit

Jak víte, asterisk je aplikace (server) pro IP telefonii. To znamená, že umožňuje klientům, kteří jsou k němu připojeni, volat mezi sebou a do vnějšího světa pomocí (mimo jiné) telefonních linek. To představuje následující rizika:

  1. klienti jsou identifikováni loginem/heslem a také (zpravidla) IP adresou. Zároveň je možné zvolit heslo (dříve nebo později, záleží na jeho složitosti, ale v každém případě je to možné) a velmi často nejsou omezení na IP adresy zdaleka tak přísná, jak bychom si přáli ( v ideálním případě by každý klient měl mít svou vlastní jedinečnou IP adresu)
  2. příchozí hovory z internetu (například z jiných serverů s hvězdičkou). U těchto připojení je vše složitější, protože hvězdička (v základní konfiguraci) neumožňuje zobrazení IP adres, ze kterých je připojení navázáno.

Program fail2ban ve spojení s firewallem (například iptables) a správně nakonfigurovanou hvězdičkou (zobrazení úplných informací v protokolech, včetně IP adres klientů a dalších serverů) umožňuje efektivně blokovat pokusy o připojení a hádání hesla.

Než začnete s nastavením, musíte nainstalovat iptables a fail2ban. Kromě toho musí být iptables již nakonfigurovány (a umožnit připojení hvězdička) před konfigurací fail2ban! Jak nakonfigurovat iptables si můžete přečíst zde: nastavení iptables pro hvězdičku. Fail2ban můžete nainstalovat také před instalací samotného asterisk, v takovém případě (alespoň teoreticky) během instalačního procesu nejnovější verze asterisk zjistí, že je fail2ban nainstalován a automaticky jej nakonfigurují. Však:

  1. Otázka zabezpečení IP telefonie není vždy zvažována před instalací hvězdičky. To znamená, že s největší pravděpodobností budete chtít nainstalovat fail2ban na systém s již nainstalovanou (a nakonfigurovanou) hvězdičkou.
  2. Ne ve všech případech bude automatická konfigurace fungovat vůbec, natož aby fungovala správně (a začala blokovat všechny útoky proti hvězdičce).

Nastavení protokolování hvězdičkami

V první řadě má smysl nastavit logování hvězdičkami, aby se informace okamžitě začaly shromažďovat ve formátu a podobě, kterou potřebujeme. Chcete-li to provést, najděte v konfiguračním adresáři hvězdička (standardně /etc/asterisk) soubor logger.conf a proveďte v něm následující změny: odkomentujte (odstraňte středník na začátku řádku):

Formát data=%F %T ; Formát data ISO 8601

To je nutné, aby hvězdička zapsala datum do protokolů ve správném formátu:
rok-měsíc-den hodiny:minuty:sekundy

Počínaje verzí 10 asterisk můžete povolit Asterisk Security Framework. Chcete-li to provést, v souboru logger.conf najděte a odkomentujte (nebo přidejte) řádek:

Bezpečnost => bezpečnost

Tento řádek na levé straně šipky určuje název souboru, do kterého budou události uloženy, a na pravé straně úrovně (typy událostí), které se budou ukládat. V tomto příkladu budou události související s úrovní zabezpečení (a pouze ony) uloženy do souboru nazvaného security ve složce s hvězdičkami.
Po provedení změn je samozřejmě nutné, aby hvězdička znovu načetla konfiguraci. Chcete-li to provést, můžete buď znovu načíst službu asterisk, nebo pouze konfiguraci protokolu (znovu načíst protokol z CLI asterisk).

Poté se ve složce log hvězdička objeví soubor s názvem security (standardně /var/log/asterisk). Nezapomeňte pro tento soubor nastavit rotaci logů (stejně jako pro ostatní logy s hvězdičkou)!

Nastavení pravidel filtrování

Nyní musíme vytvořit filtr, který bude extrahovat potenciálně nebezpečné události z obecného toku zpráv s hvězdičkou (nesprávné přihlášení/heslo, pokus o přihlášení z neautorizované IP adresy atd. atd.). Přitom musíme nejen detekovat takové potenciálně nebezpečné události, ale také odtud izolovat IP adresu, ze které byla akce provedena. To znamená, že v souborech událostí s hvězdičkou nehledáme jen konkrétní řádky, ale nastavujeme pravidla filtrování.
Pravidla filtrování lze zapsat do souboru /etc/fail2ban/filter.d/asterisk.conf. Zde je ukázka obsahu tohoto souboru:

# Konfigurační soubor Fail2Ban # # # $Revize: 250 $ # # Čtení běžných prefixů. Pokud jsou k dispozici nějaké přizpůsobení -- přečtěte si je z # common.local #before = common.conf #_daemon = hvězdička # Možnost: failregex # Poznámky.: regex, aby odpovídal zprávám o selhání hesla v souboru protokolu. # hostitel musí odpovídat skupině s názvem "host". Značka " " může být # použita pro standardní shodu IP/hostname a je pouze aliasem pro # (?:::f(4,6):)?(?P \S+) # Hodnoty: TEXT # # Používá hvězdička 1.8 Host: Formát portu, který se zde odráží failregex = UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " :.*" - Nesprávné heslo UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " :.* " - Nebyl nalezen žádný odpovídající partner UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " :.*" - Neshoda uživatelského jména/autorizačního jména UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " :.*" - Zařízení neodpovídá OZNÁMENÍ ACL.* .*: Registrace z ".*" se nezdařila pro " :.*" - Nejde o místní doménu UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " :.*" - Partner se nemá registrovat UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " :.*" - Chyba ACL (povolit/zakázat) UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " " - Nesprávné heslo UPOZORNĚNÍ.* .*: Registrace z „.*“ se nezdařila pro „ “ - Nebyl nalezen žádný odpovídající partner UPOZORNĚNÍ.* .*: Registrace z „.*“ se nezdařila pro „ “ – Neshoda uživatelského jména/autorizačního jména UPOZORNĚNÍ.* .* : Registrace z ".*" se nezdařila pro " " - Zařízení neodpovídá OZNÁMENÍ ACL.* .*: Registrace z ".*" se nezdařila pro " " - Nejedná se o místní doménu UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařilo pro " " - Peer se nemá registrovat UPOZORNĚNÍ.* .*: Registrace z ".*" se nezdařila pro " " - Chyba ACL (povolit/zakázat) UPOZORNĚNÍ.* .*: Registrace z "\".*\" .*" se nezdařilo pro " :.*" - Nebyl nalezen žádný odpovídající partner UPOZORNĚNÍ.* .*: Registrace z "\".*\".*" se nezdařila pro " :.*" - Nesprávné heslo UPOZORNĚNÍ.* .*: Ne registrace pro peer ".*" \(od \) UPOZORNĚNÍ.* .*: Ověření hostitele MD5 pro ".*" (.*) se nezdařilo.* .*: Nepodařilo se ověřit uživatele .*@ .* UPOZORNĚNÍ.* se nezdařilo k ověření jako ".*"$ UPOZORNĚNÍ.* .*: Odesílání falešného odmítnutí ověření pro zařízení .*\<.>

Nejstarší verze používají řádky jako aviahove řádky, protože počínaje verzí byly v protokolech informace o čísle portu, které není ve výše uvedené verzi, bere v úvahu stejné jako staré verze, takže v něm nemusíte nic měnit

Pro verze a vyšší, pokud jste povolili protokolování, nezapomeňte pro tyto protokoly zadat pravidla filtrování

Pravidla filtrování lze zapsat do souboru Zde je ukázka obsahu tohoto souboru

Nastavení izolátorů pro

Nyní musíme vytvořit popisy takzvaných izolátorů, abychom mohli propojit naše filtry a vysvětlit, ve kterých souborech by se měly tyto řádky hledat a co dělat

Chcete-li to provést, otevřete soubor

  1. Ujistěte se, že s tím nejsou spojena žádná další pravidla, pouze vyhledejte soubor podle názvu bez uvozovek a ujistěte se, že pokud pro každé z nich taková pravidla existují, vlastnost je nastavena
  2. Pokud je verze menší nebo nechcete používat protokoly, použití protokolů se důrazně nedoporučuje, pak budete muset vytvořit pouze jedno pravidlo, jinak budete muset vytvořit pravidla

Pravidlo č.

Toto pravidlo musí být vytvořeno pro všechny verze. Můžete vytvořit nové pravidlo nebo upravit kterékoli ze stávajících, ale deaktivováno do kterého se ukládají všechny hlavní typy událostí Asterisk Ve výchozím nastavení se nazývá tento hlavní soubor protokolu, ale například se bude jednat o soubor s názvem, který je uveden v souboru VASSM settingsasterisk v souboru Itaksamrule.

konfigurace izolátorů pro hlavní události pravidel je povolen filtr, který bude použit, se nazývá název filtru toto je název souboru v adresáři, jehož hlavní soubor protokolu pro použití filtru pro vyhledávání potenciálně nebezpečných událostí číslo potenciálně nebezpečných událostí nalezených filtrem ke spuštění akce, v jakém časovém období v sekundách má být akce aplikována na jaké časové období v sekundách k vyhledání potenciálně nebezpečných událostí, co dělat, když filtr detekuje periodu útoku sekund v detekovaných protokolech potenciálně nebezpečné akce z jedné adresy zablokujeme všechny porty a zašleme dopis se seznamem adres podsítě, u kterých jsou všechny potenciálně nebezpečné události ignorovány

Pravidlo č.

Toto pravidlo bude fungovat pouze v případě, že je verze novější a také v případě, že je povoleno protokolování výše. Můžete také vytvořit nové pravidlo nebo upravit jakékoli existující, ale vypnuté pravidlo použije pro analýzu souboru v adresáři log.

konfigurace izolátorů pro bezpečnostní události pravidla povolena filtr, který bude použit, se nazývá název filtru tento název souboru v adresáři, který hlavní soubor protokolu pro použití filtru pro vyhledávání potenciálně nebezpečných událostí počet potenciálně nebezpečných událostí nalezených filtrem ke spuštění akce na jakou dobu v sekundách použít akci na jakou dobu v sekundách pro hledání potenciálně nebezpečných událostí co dělat, když filtr zjistil periodu útoku sekund v protokolech detekované potenciálně nebezpečné akce z jedné adresy blokujeme všechny porty za tímto účelem zašlete dopis se seznamem adres podsítě, pro které jsou všechny potenciálně nebezpečné události ignorovány

Zahájit

Nyní je třeba spustit nebo restartovat a pokud je to nutné, například ještě nebylo spuštěno

Chcete-li jej spustit, musíte jej nejprve spustit, spusťte následující příkaz

Pro restart spusťte následující příkaz

Chcete-li zkontrolovat, zda se úspěšně spustilo a pravidlo je načteno, spusťte následující příkaz

a pokud existuje druhé pravidlo

Chcete-li zobrazit seznam pravidel, spusťte následující příkaz

Pokud jste právě nainstalovali, nezapomeňte se ujistit, že je nakonfigurován tak, aby se spouštěl automaticky při startu systému

Kontrola práce

Hlavní věcí během procesu ověřování je mít po ruce jiný počítač nebo místní přístup k serveru, takže v případě zablokování vaší adresy se můžete připojit a toto blokování odstranit

Je nutné zkontrolovat fungování odkazu, protože i když jste vše správně nakonfigurovali nebo zkopírovali, je možné, že mnoho kombinací událostí způsobí, že vámi nakonfigurované zámky nebudou fungovat

Posloupnost akcí pro kontrolu fungování odkazu

  1. Ujistěte se, že máte počítač nastavený tak, aby se spouštěl při startu.
  2. Pokud jste nastavili pravidla pro, důrazně doporučujeme zkontrolovat fungování každého z nich zvlášť. Chcete-li to provést, deaktivujte například jedno z pravidel
  3. restartujte počítač, zkontrolujte to
    1. služby běží
    2. jedno pravidlo je zapnuté a druhé vypnuté

      V tomto případě se zobrazí zpráva pro zakázané pravidlo

      a pro zahrnutou zprávu formuláře

  4. Ujistěte se, že spouštíte klienta ze samotného serveru z jiného počítače a zadáváte nesprávná data pro autorizaci. Adresa připojení musí být adresa serveru parametr pro každé pravidlo samostatně Jako testovacího klienta můžete použít program, který se spouští z příkazového řádku
  5. Pokud jste spustili klienta na stejném počítači, ke kterému jste se připojili k serveru a pokud bylo nastavení správně nakonfigurováno, vaše adresa je aktuálně blokována a nemůžete se připojit k serveru na tomto počítači, zaškrtněte toto Připojit k jinému počítači nebo místně a pokračujte provádění příkazů
  6. Spusťte příkaz jako

    pro povolené pravidlo a ujistěte se, že adresa, ke které se klient připojil, je v seznamu blokovaných

  7. Nyní podobně jako u akcí z odstavce odemkněte například druhé pravidlo a zablokujte první
  8. Postupujte pouze podle kroků v odstavci namísto restartování počítače, což lze také provést jednoduchým restartem služby. Poté adresa počítače, na kterém jste spustili, okamžitě odemkne klienta a poté službu znovu restartuje
  9. Poté, co zkontrolujete fungování obou pravidel samostatně, nezapomeňte je povolit jak pro, tak pro parametr. Poté samozřejmě nezapomeňte službu restartovat
  10. A poslední bod, pokud jste předchozí body dokončili dostatečně rychle během pár minut, může se ukázat, že po zapnutí obou pravidel následný restart zablokuje adresu, na které jste klienta znovu spustili
    Buďte opatrní

Správa pravidel

Dočasná deaktivace blokování adres

Chcete-li to provést, musíte službu použít. Nejprve zobrazíme seznam pravidel na konzoli a poté vybereme ta, která potřebujete, abyste je ze zákazu odstranili.

Chcete-li zobrazit seznam pravidel, zadejte příkaz

Zobrazí se zpráva podobná následující

Máme zájem o odstranění adresy z banu, která, jak vidíme, je v řetězci pravidel nazvaném Dial a command

Pokud se příkaz provede úspěšně, nezobrazí se žádná zpráva a pokud nyní příkaz spustíme znovu

pak vidíme, že adresa zmizela z blokování, i když zůstává blokovaná. Zároveň se můžeme znovu připojit k serveru

Trvale deaktivujte blokování adres

Aby nedošlo k zablokování konkrétní adresy nebo několika adres, bez ohledu na to, kolik neúspěšných pokusů o uhodnutí hesla a dalších nezákonných akcí provedli, je nutné v souboru provést další nastavení

Každé pravidlo souboru může obsahovat parametr, který specifikuje seznam adres zahrnutých do bílé listiny pro toto pravidlo. Protože mohou existovat dvě pravidla, mějte na paměti, že musíte být uvedeni v obou pravidlech

Parametr má následující tvar

To znamená, že v tomto případě můžete zaregistrovat jednotlivé adresy jako podsítě a dostat se na bílou listinu

Odblokování adresy, na které bylo testování provedeno

Při kontrole správnosti nastavení budete klienta opakovaně spouštět, abyste otestovali práci na blokování budoucích útoků na internetu a v procesu následné práce budete možná muset čas od času provést akce, jejichž důsledky může dojít k zablokování zvenčí alespoň na jeden den alespoň na rok

Existují způsoby, jak tento problém vyřešit

  1. Přidejte adresu do pravidel v seznamu, ale někdy nemusí být žádoucí provádět například pravidelné testování práce
  2. Čas je obvykle trvání intervalu v sekundách, během kterého se musí jednou zopakovat událost útoku na uhádnutí hesla, po jejímž uplynutí se zákaz projeví mnohem kratší dobu než tato doba zákazu v sekundách, po které je adresa odstraněna ze seznamu blokovaných. Zablokování vaší adresy a následné restartování služby Po restartu služby jsou všechna blokování zrušena. Při následném načtení jsou však protokoly znovu analyzovány, pokud se při neúspěšných pokusech o připojení znovu zablokují zahájit

Testování konfigurace

Můžete zkontrolovat, jak bude filtr aplikován na tu či onu osobu. Chcete-li to provést, můžete spustit příkaz

Kde je tento vzorový soubor cesty s protokoly, které budou filtrovány, a samotným filtrem, který obsahuje fragmenty chybových zpráv, které by měly být v protokolu, aby bylo možné zakázat adresy útočníků

Nakonec můžete místo restartu spustit následující příkaz

Odkazy na zdroje

Materiály převzaty zejména z oficiálních stránek regulárního výrazu a pravidla pro hvězdičku převzaty ze sekce



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru