Sentry програма за защита срещу груба сила
Codeby web-security - нов курс от Codeby Security School
Представяме на вашето внимание нов курс от екипа Кодът - "Тестване на проникване на уеб приложения от нулата". Обща теория, Подготовка на работната среда, Пасивно размиване и пръстови отпечатъци, Активно размиване, Уязвимости, След експлоатация, Инструменти, Социално инженерство и др. Повече информация .
sentry - това съкращение означава "безопасна и ефективна защита срещу атаки на груба сила", тоест безопасна и ефективна защита срещу груби сили (ssh, FTP, SMTP и други).
Описание на часовия
Безопасно
За да се предотврати случайно блокиране, Sentry поставя на бял списък IP адреси, които са се свързвали повече от 3 пъти и поне веднъж успешно. Сега вашият колега с множествена склероза зад офис NAT рутер никога повече няма да бъде блокиран от вашата система. И вашият администратор, чийто крив скрипт неуспешно се опита да влезе 12 пъти на всеки 2 секунди, вече няма да претърпи такава съдба.
Sentry включва поддръжка за добавяне на IP към защитната стена. Включена е поддръжка за IPFW, PF, ipchains. Поддръжката на защитната стена е деактивирана по подразбиране. Това е така, защото правилата на защитната стена могат да затворят съществуващите сесии за хоста (важно за потребителите на IPFW). Добавете вашия IP към белия списък (свържете се 3 или повече пъти или използвайте бял списък), преди да активирате опцията защитна стена.
Sentry разполага с изключително проста IP база данни за проследяване. Благодарение на това е много лесно за системния администратор да го преглежда и модифицира, включително с помощта на команди и скриптове на черупки. Вижте раздела „Примери“.
Sentry е написан на perl, който се инсталира навсякъде, където е sshd. Няма зависимости. Инсталирането и внедряването е възможно най-лесно.
Sentry поддържа блокиране на опити за свързване с помощта на различни TCP обвивки и няколко популярни защитни стени. Sentry може лесно да се подобри, за да поддържа допълнителни списъци с блокове.
Sentry е написан за защита на демона SSH, но се използва и с други демони. Както вече беше описано, основната платформа, използвана за атаката, е мрежа от ботове, състояща се от персонални компютри, използвани с високоскоростни интернет връзки. Тези ботове се използват за извършване на SSH атаки, както и за изпращане на спам. Блокирането на ботове предотвратява много вектори на атака.
Стилът на кодиране на Sentry улеснява вмъкването на код за допълнителна функционалност.
Ефективно
Основната цел на Sentry е да минимизира ресурсите, които атакуващият може да открадне, това се постига чрез консумация на самата програма минимално количество ресурси. Повечето приложения за блокиране на груба сила (denyhosts, fail2ban, sshdfilter) трябва да се изпълняват като демони, наблюдаващи опашката на регистрационния файл. Това изисква езиковият интерпретатор да работи винаги, консумирайки поне 10MB RAM. Една желязна машина с много виртуални сървъри ще загуби стотици мегабайта за защита от демони.