• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Как забанить IP адрес?

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
Приветствую! Появилась проблема, в которой с разных IP адресов пытаются перебором интернет адресов аутифицироваться на моем SMTP почтовом сервере.
Вопрос: Как забанить и запретить диапазону IP адресов подключаться к Domino серверу средствами Domino? Дело в том, что сервер занят только тем, что проверяет логины и делает отлуп, а письма в очереди не уходят адресату.
 

savl

Lotus Team
28.10.2011
2 610
313
BIT
319
Здесь? документ конфигурации сервера.
роутеру надо будет команду дать для обновления настроек
1601900052586.png
1601900072454.png
 

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
Здесь? документ конфигурации сервера.
роутеру надо будет команду дать для обновления настроек
Посмотреть вложение 44059 Посмотреть вложение 44060
Боюсь, что это уже испробавано. Результат такой настройки - это выслушать подключение, передать на проверку, и выдать сообщение в консоль, что подключение разорвано в связи с политикой безопасности сервера.

Код:
05.10.2020 15:52:12   SMTP Server: Authentication failed for user COLFLESH@******.ru ; connecting host 45.142.120.36
05.10.2020 15:52:12   SMTP Server: Authentication failed for user NUNUTA@******.ru ; connecting host 45.142.120.78
05.10.2020 15:52:12   SMTP Server: 45.142.120.78 disconnected. 0 message[s] received
05.10.2020 15:52:13   SMTP Server [0B4C:005C-02F0] Connection from [45.142.120.78] rejected for policy reasons. IP address of connecting host not found in reverse DNS lookup.
05.10.2020 15:52:13   SMTP Server [0B4C:001B-0FA4] Connection from [45.142.120.78] rejected for policy reasons. IP address of connecting host not found in reverse DNS lookup.
Вот бы запретить подключение, что бы не тратить ресурсы сервера на всякие проверки авторизации.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Боюсь, что это уже испробавано. Результат такой настройки - это выслушать подключение, передать на проверку, и выдать сообщение в консоль, что подключение разорвано в связи с политикой безопасности сервера.

Код:
05.10.2020 15:52:12   SMTP Server: Authentication failed for user COLFLESH@******.ru ; connecting host 45.142.120.36
05.10.2020 15:52:12   SMTP Server: Authentication failed for user NUNUTA@******.ru ; connecting host 45.142.120.78
05.10.2020 15:52:12   SMTP Server: 45.142.120.78 disconnected. 0 message[s] received
05.10.2020 15:52:13   SMTP Server [0B4C:005C-02F0] Connection from [45.142.120.78] rejected for policy reasons. IP address of connecting host not found in reverse DNS lookup.
05.10.2020 15:52:13   SMTP Server [0B4C:001B-0FA4] Connection from [45.142.120.78] rejected for policy reasons. IP address of connecting host not found in reverse DNS lookup.
Вот бы запретить подключение, что бы не тратить ресурсы сервера на всякие проверки авторизации.
задача не для домины
любой никсовый гейт (разные, есть готовые комбайны типа ) + fail2ban решают проблему
 
  • Нравится
Реакции: Иван Пахомов

savl

Lotus Team
28.10.2011
2 610
313
BIT
319
Вот бы запретить подключение, что бы не тратить ресурсы сервера на всякие проверки авторизации.
так там же отдельной поле я выделил.
и еще: разделите сервервы для входящих и исходящих, так у вас не будет затычек.
 

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
так там же отдельной поле я выделил.
и еще: разделите сервервы для входящих и исходящих, так у вас не будет затычек.
Поверьте, именно там и записаны запрещенные диапазоны IP. А результат - в логе уже указал. Не хотелось бы проксик ставить...
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Поверьте, именно там и записаны запрещенные диапазоны IP. А результат - в логе уже указал. Не хотелось бы проксик ставить...
так можно дойти до мыслей о ненужности файрволов и детекторов вторжения и спама ;)
и вот слова проксик ставить звучат страшнее, чем суть действий. Так например postfix входит в штатные репы любых дистрибутивов линукса, куча материалов по настройке присутствуют в сети, если нет желания возится - выше указал готовый набор
 
Последнее редактирование:
  • Нравится
Реакции: Иван Пахомов

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
ещё момент - запись в syslog или так (настройка event4)
затем анализ с пом. fail2ban - пишем регулярку на syslog для доминошной специфики, подобно
 
Последнее редактирование:

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
9
Приветствую! Появилась проблема, в которой с разных IP адресов пытаются перебором интернет адресов аутифицироваться на моем SMTP почтовом сервере.
Вопрос: Как забанить и запретить диапазону IP адресов подключаться к Domino серверу средствами Domino? Дело в том, что сервер занят только тем, что проверяет логины и делает отлуп, а письма в очереди не уходят адресату.
Ну что то не то в консерватории :)
Отправка адресату и приём почты с авторизацией - это разные процессы.
У себя я вкл internet lock down На 4 Попытки... И вроде все норм...
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Ну что то не то в консерватории :)
Отправка адресату и приём почты с авторизацией - это разные процессы.
У себя я вкл internet lock down На 4 Попытки... И вроде все норм...
это банит акк, а не IP , что может быть чревато
 

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
Сделал базейку, которая проходит по логам Domino сервера и собирает IP тех подключений, которые пытаются авторизоваться за текущую дату с начала текущих суток. Собираю количество таких подключений по каждому IP. Через API узнаю географию собранных IP. Потом передаю это все администратору сети. Он вносит самых настойчивых в Брандмауэр Win server. Линуксового у нас ничего нет..
Но вот доминошными средствами победить эту напасть невозможно. Пытался... сдался....
Всем спасибо за советы и помощь!
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Но вот доминошными средствами победить эту напасть невозможно. Пытался... сдался....
тю... ;) запустить скрипт с правами одмина в винде вроди как мона ;)
Линуксового у нас ничего нет..
реальный кейс отказаться от винды для домины..., немного усилий на собой и мир заиграет новыми красками ;):
-удаленный сбор информации (скрипт по ssh от Нэшеда), пример давал на канале в телеге
Bash:
ssh root@dom1 "domino cmd 'show stat' 5000" | grep Platform.Process.update
-управляемая ФС (и не одна)
-ОС не будет заниматься своими делами помимо воли её "хозяина"
-ssh комбайн может фсё: монтировать ФС (sshfs), пробрасывать туннели, осуществлять передачу команд, авторизация по ключу и шифрование канала...
-гипервизор KVM со всеми плюшками бесплатно
-управляемый программный свитч (сети, вланы, агрегация)
-интеграция с БД на выбор, например @rinsk использует postgresql (очень достойный движок)
-SMB не подверженный фирменным взломам от МС существовавшим ( , , ) и грядущим (на мой взгляд SMB нинужно)
-NFS - где не нужна глобальная секурность и нужна скорость по сети (в отдельной сторадж сети)
-куча девопсовых тулов без СМС, визардов и прочей МС "привычной" (в худшем смысле) хери
-100500 вариантов настройки сети и файрола (фреймворки разных уровней)
еще много-чего я не вспомнил сходу
для меня существование виндовс+ домино - чудовищный велик с квадратными колесами и кучей доп. сервисов от МС (кот. еще надо уметь вычистить)
 
Последнее редактирование:
  • Нравится
Реакции: Иван Пахомов

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Да все это очень интересно и поучительно, но у нас нет специалистов по никсам и нанимать не планируется. Да и нужно будет переписывать кучу баз, которые заточены под винду.
Спасибо за помощь.
у вас есть на сервере код точеный под винду? ой вы рискуете ;)
я бы сказал что спец и тот кто может минимально обслуживать - очень разные люди и для задач "лотусиста" достаточно второго
а углубление знаний никому ещё не навредило
скажу больше - большинство считающих себя знающими винду таковыми не являются
много раз искал решения тривиальных задач для винды - уж сколько мусора (малопригодного для использования) на просторах сети. Совершенно убежден - сил и времени для поиска решения одинаковых задач для винды и никсов, для первой, надо потратить больше (это для серверов)
 
Последнее редактирование:
  • Нравится
Реакции: Иван Пахомов

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
тю... ;) запустить скрипт с правами одмина в винде вроди как мона ;)
реальный кейс отказаться от винды для домины..., немного усилий на собой и мир заиграет новыми красками ;):
-удаленный сбор информации (скрипт по ssh от Нэшеда), пример давал на канале в телеге
Bash:
ssh root@dom1 "domino cmd 'show stat' 5000" | grep Platform.Process.update
-управляемая ФС (и не одна)
-ОС не будет заниматься своими делами помимо воли её "хозяина"
-ssh комбайн может фсё: монтировать ФС (sshfs), пробрасывать туннели, осуществлять передачу команд, авторизация по ключу и шифрование канала...
-гипервизор KVM со всеми плюшками бесплатно
-управляемый программный свитч (сети, вланы, агрегация)
-интеграция с БД на выбор, например @rinsk использует postgresql (очень достойный движок)
-SMB не подверженный фирменным взломам от МС существовавшим ( , , ) и грядущим (на мой взгляд SMB нинужно)
-NFS - где не нужна глобальная секурность и нужна скорость по сети (в отдельной сторадж сети)
-куча девопсовых тулов без СМС, визардов и прочей МС "привычной" (в худшем смысле) хери
-100500 вариантов настройки сети и файрола (фреймворки разных уровней)
еще много-чего я не вспомнил сходу
для меня существование виндовс+ домино - чудовищный велик с квадратными колесами и кучей доп. сервисов от МС (кот. еще надо уметь вычистить)
Спасибо за помощь! Но у нас нет специалистов по никсам и не предвидится. Пытались переидти 1 раз, но после того, как сервак "упал" и пришлось восстанавливать еженедельно в течении 2 месяцев, радость использования пропала. Вдобавок было запланировано исправлять рабочие базы, которые использовали недра винды путем поиска файлов в папках, выгрузки вложений из докуменов СЭД и чтения текстовых выгрузок из банка, выгруженных из Лотус. С глубоким облегчением мы встретили новость, что про Centos больше не вспоминать.
Спасибо за помощь!
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Вдобавок было запланировано исправлять рабочие базы, которые использовали недра винды путем поиска файлов в папках, выгрузки вложений из докуменов СЭД и чтения текстовых выгрузок из банка, выгруженных из Лотус.
это на сервере?
я честно не вижу сложностей (или не понимаю)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 953
610
BIT
280
Пытались переидти 1 раз, но после того, как сервак "упал" и пришлось восстанавливать еженедельно в течении 2 месяцев
пардонмуа - а какже бэкапы? (зависимости от ОС здесь нет)
 

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
это на сервере?
я честно не вижу сложностей (или не понимаю)
Все не так просто. Domino крутится на сервере, а DATA на отдельном носителе(другой компьютер, сетевой диск, внешний диск - все это у нас используется как дублирующие друг друга системы). Команды Dir, CurDir, Declare для подключения DLL, Environ (напимер, что бы узнать значение поля, название которого записано в другом поле) и др.Центусу неизвестны.
 

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
пардонмуа - а какже бэкапы? (зависимости от ОС здесь нет)
Само падение - куда-то пропадал настроечный файлик и сервак просто стоял как металлолом. Работать, восстанавливая ОС - тяжеловато, когда сервак находится в другом регионе географии.
 

Ficoos

Lotus Team
15.03.2016
138
5
BIT
151
эти команды все точно также работают в ЛС на любой ОС (из поддерживаемых) ДЛЛ, если не секрет, какая?
Dll, использующий подключения к внешним сканерам и являющийся оболочкой для общения оператора и сканера twain.dll
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!