> Pierre Jaury a écrit :
> Il y a bien sûr la solution extérieure si c'est exclusivement des
> enumerations que tu veux te protéger. Je n'aime pas du tout cette
> approche vu les permissions confiées à une machine satellite,
Moi pas trop non plus, tu donnes de l'eau à mon moulin; je re-formule ma
question une fois de plus : comment faire que login block soit un peu à moitié
intelligent comme fail2ban au lieu d'être une brute épaisse qui bloque tout ?
[relire le sujet et la contrib originale :P]
> mais si tu centralises les logs, il doit bien y avoir des modules fail2ban ou
> equivalent
> pour déployer de l'ACL automatiquement (au hasard, jette un oeil à python
> trigger).
Pour déployer les ACL automatiquement, j'ai choisi BGP. Ca ne marche pas
encore, mais si tu as du temps à perdre tu peux participer à la boîte "IDS /
ExaBGP" dans l'architecture du geek barbu.
Michel.
+---------------------------------/ Ze claoud \--+ +--/ Ze rézo local
\--------------------------------------------+
! ! !
!
! +-----+ +---+ +---+ ! !
+---+ +---------------+ !
! ! FAI ! ! x ! ! y ! ! ! Cafetière -----+
+- Serveur +---+ Switch Garage + !
! +--+--+ +-+-+ +-+-+ ! ! !
S ! ! +---------------+ !
! ! ! ! _______ !
W +- PCs +--+ !
! +--------+ +----+--------+------/ Cisco \----+ !
I ! ! +------ DVR !
! ! ! Tu100 Tu200 ! +---------+ !
T +--------+ ! !
! ! ! NAT + Log F0/0 +---+ IDS ! !
C ! +---+--+ !
! +--------------+ +---+ ATM0/0/0/0.35 Reflx ACL ! + - v - +---+
H +------------+ Wifi +--- NeoTV !
! ! Team Cymru ! ! iBGP +---+ ExaBGP ! !
! +-+-+--+ Netflix !
! ! FullBogon #1 +---+ ! eBGP eBGP eBGP F0/1 ! +---------+ !
+- Ooma ! ! !
! +--------------+ ! +----+------+------+-----------+--+ !
! ! +------ PC films !
! ! ! ! ! ! ! ! +---------+ !
+- Pi ! !
! +--------+ ! ! ! ! +------+ Wifi ! !
! ! !
! +--------------+ ! ! ! ! ! Invités ! !
+ ! !
! ! Team Cymru ! ! ! ! ! +----+----+
+-+-+ ! !
! ! FullBogon #2 +-------------------+ ! ! ! !
! ((( o ))) (((geek))) !
! +--------------+ ! ! ! ((( o )))
! !
! ! ! !
! !
! ! ! !
+----------------------+--------------------------------+ !
! +--------------+ ! ! ! ! Chiottes énablés
TCP/IP pour tirer la chasse avec une ! !
! ! Bad IPs +--------------------------+ ! ! ! app Android, et
générer un évenement syslog à chaque ! !
! ! BGP feed ! ! ! ! fois, çà frime à
mort avec les geeks barbus. ! !
! +--------------+ ! !
+-------------------------------------------------------+ !
! ! !
!
+------------------------------------------------+
+---------------------------------------------------------------+
On 01/19/15 05:18, Pierre Jaury wrote:
> Le login block permet de lutter contre les énumérations, mais aussi
> d'épargner l'équipement quand le taux de connexions effondre les
> ressources. Ca n'est donc pas « ennuyeux » et la whitelist est la
> solution la plus adaptée à mon sens.
>
> Et je ne suis pas spécialiste Cisco, mais je ne connais pas d'autre
> approche. J'ai reparcouru la doc rapidement, elle n'est pas bavarde
> non plus.
>
> On 01/19/15 04:49, Michel Py wrote:
>> Quand on utilise la commande suivante (ou similaire) destinée à
>> mitiger les attaques de dictionaire
>>
>> "login block-for 300 attempts 2 within 300"
>>
>> Le routeur construit une access-list appellée "sl_def_acl"
>>
>> c1841-michel#sh access-lists
>> Extended IP access list sl_def_acl
>> 10 deny tcp any any eq telnet log
>> 20 deny tcp any any eq www log
>> 30 deny tcp any any eq 22 log
>> 40 permit tcp any any eq 22 log
>> c1841-michel#
>>
>> C'est un peu ennuyeux, c'est pourquoi on implémente aussi
>>
>> "login quiet-mode access-class TOTO" comme çà on peut au moins se logger de
>> sa propre bécane et autres hôtes connus.
>>
>> Voici la question con :
>>
>> Au lieu de générer "10 deny tcp any any eq telnet log" et autres, çà serait
>> pas pire si le routeur générait "10 deny tcp host x.x.x.x any eq telnet log"
>> à la place.
>>
>> Quelqu'un sait comment faire çà ?
>>
>> Michel.
>>
>>
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
--
Pierre Jaury @ kaiyou
http://kaiyou.fr/contact.html
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
