22 junio 2014

Enlaces de la SECmana - 229


5 comments :

Lorenzo Martínez dijo...

Hola Daniel,
las opciones de tiempo de IPtables, te permite controlar el tráfico que permites de entrada en la cadena INPUT desde tal hora hasta tal hora. Yo lo que quería era blacklistear la IP "atacante" durante varios días, las 24 horas, y que la regla se elimine "sola" cuando pase el tiempo de baneo... por lo que dices, no tendría el mismo efecto que el que logro con fail2ban.
Gracias igualmente por la sugerencia!

test dijo...

Estaba poniéndolo en practica pero me he dado cuenta que al menos a mi no me funciona la expresión regular. La estoy pronbando de la siguiente forma:

fail2ban-regex ../lib/portsentry/portsentry.history "\/ Port\: 23 TCP Blocked"

cat ../lib/portsentry/portsentry.history
1404055298 - 06/29/2014 17:21:38 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
1404056098 - 06/29/2014 17:34:58 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
1404056558 - 06/29/2014 17:42:38 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
1404057079 - 06/29/2014 17:51:19 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked

Alguna idea?

Lorenzo Martínez dijo...

Pues a mí me va perfectamente....


fail2ban-regex /usr/local/psionic/portsentry/portsentry.blocked.atcp /etc/fail2ban/filter.d/portsentry.conf

Running tests

=============

Use regex file : /etc/fail2ban/filter.d/portsentry.conf

Use log file : /usr/local/psionic/portsentry/portsentry.blocked.atcp

Results

=======

Failregex: 1335 total

|- #) [# of hits] regular expression

| 1) [1335] \/ Port\: 23 TCP Blocked

`-

Ignoreregex: 0 total

Summary

=======

Addresses found:

[1]

2.142.156.120 (Sun Jun 15 19:35:05 2014)

14.146.31.13 (Sun Jun 15 19:40:31 2014)

218.77.79.43 (Sun Jun 15 19:51:05 2014)

91.225.10.47 (Sun Jun 15 20:20:17 2014)

182.139.29.145 (Sun Jun 15 20:25:00 2014)

110.188.195.176 (Sun Jun 15 20:52:41 2014)

180.142.154.216 (Sun Jun 15 21:02:37 2014)

60.168.134.141 (Sun Jun 15 21:03:51 2014)



test dijo...

Hola, ya he descubierto que ocurre. El problema es que fail2ban necesita que las lineas de los logs comiencen por una fecha-hora y sólo tiene determinados formatos.
En mi caso /var/lib/porsentry/portsentry.blocked.tcp tiene el siguiente:
1404073399 - 06/29/2014 22:23:19 Host: 192.168.43.146/192.168.43.146 Port: 23 TCP Blocked

Es decir, epoch - otroFormatoDeFecha, la verdad que no entiendo porque esta redundancia.

Y aunque fail2ban reconoce el formato de fecha epoch parece entrar en algún conflicto al tener el otro formato después.

Por tanto Lorenzo, soy consciente de que pido mucho pero me sería de gran ayuda si pudieses mostrarnos alguna linea de tu log de portsentry para así confirmar que es esto. Imagino que tendremos versiones distintas. Gracias.

Lorenzo Martínez dijo...

Hola... en mi caso es absolutamente igual que el tuyo,...

1404111340 - 06/30/2014 08:55:40 Host: 182.130.213.236/182.130.213.236 Port: 23 TCP Blocked

Una duda, ¿modificaste el fichero /usr/share/fail2ban/server/datedetector.py para que detecte el formato fecha del log de portsentry?