先日、Dovecotへのブルートフォースアタック対策を
したのですが全く駄目でした。
ということで新たなる対策を行ってみました。
前回はポート指定してアクセス数制限をかけたのですが
なぜかその制限を超えてアタックされているのです。
回数をもっと厳しくしてみましたが改善は見られませんでした。
前回のは基本ドロップさせて必要なポートのみ開けている設定から
回数制限の部分だけを使っていたので期待通りの動作をしなかった
と考えられます。
今回はブルートフォースアタック用のチェインを作り
規定のアクセス数を超えるIPをドロップするものです。
# iptables -A ANTI_BRUTEFORCE \
-m hashlimit \
–hashlimit-name dovecot \
–hashlimit 6/m \
–hashlimit-burst 6 \
–hashlimit-mode srcip \
–hashlimit-htable-expire 180000 -j RETURN
-m hashlimit \
–hashlimit-name dovecot \
–hashlimit 6/m \
–hashlimit-burst 6 \
–hashlimit-mode srcip \
–hashlimit-htable-expire 180000 -j RETURN
# iptables -A ANTI_BRUTEFORCE \
-j LOG \
–log-level debug \
–log-prefix “[iptables BruteForce] ”
# iptables -A ANTI_BRUTEFORCE -j DROP
# iptables -A INPUT -p tcp –dport 110 -m state –syn –state NEW -j ANTI_BRUTEFORCE
# iptables -A INPUT -p tcp –dport 143 -m state –syn –state NEW -j ANTI_BRUTEFORCE
180秒間に毎分7回以上アクセスしてくるIPをドロップします。
その上、ログも残すようにしています。
いまのところアタックしてくる人がいないので効果は分かりません。
2014/05/22 追記:
チェインを関連づけるのを忘れていたので追記しました。
コメント