Статья The Artillery Project - защищаемся от сканирований и брута

Тестировать на проникновение - это круто. Но как защититься чтобы тебя не взломали?

Artillery — это IPS система, позволяющая проводить мониторинг файловой системы на предмет модификаций и журналов служб на предмет сообщений об ошибках, проводить анализ конфигурации операционной системы и выявлять уязвимости, работать как honeypot и блокировать нарушителей по IP адресам, а так же уведомлять системного администратора об атаках по электронной почте.

Инструмент хороший. Давайте установим его.

Установка.

git clone https://github.com/BinaryDefense/artillery.git
cd artillery
python setup.py

После запуска установка вас спросят Хотите ли вы сделать чтобы при запуске системы Artillery запускалась автоматически.
Позже задаст вопрос, запустить ли сейчас Artillery.
Поздравляю вы поставили Artillery на вашу систему.
Установить и запустить это будет маловато. Нужно ещё её правильно настроить.
Давайте пойдем по настроим.

Открываем файл конфигурации

nano/var/artillery/config

видим что у нас включен мониторинг папок /root//var//etc/

# DETERMINE IF YOU WANT TO MONITOR OR NOT
MONITOR="ON"
#
# THESE ARE THE FOLDERS TO MONITOR, TO ADD MORE, JUST DO "/root","/var/", etc.
MONITOR_FOLDERS="/var/www","/etc/"

Так же мы можем увидеть наши HONEYPOT порты

# PORTS TO SPAWN HONEYPOT FOR
PORTS="22,1433,8080,21,5900,25,53,110,1723,1337,10000,5800,44443,16993"

Сюда вы можете добавить порты которые у вас не установлены на сервисы и ловить "китайских хакеров" которые пытаются вас сканировать.
После старта Artillery слушает порты эти порты которые для злоумышленников очень лакомый кусочек.
Также есть Банлист он находиться тут

/var/artillery/banlist.txt

там хранятся все заблокированные IP адреса
Ниже можно включить или выключить мониторинг SSH и защитить его от брута.

# DO YOU WANT TO MONITOR SSH BRUTE FORCE ATTEMPTS
SSH_BRUTE_MONITOR="ON"
#
# HOW MANY ATTEMPTS BEFORE YOU BAN
SSH_BRUTE_ATTEMPTS="4"

Если вы не всегда сидите за компом и мониторите систему вы можете настроить чтобы Artillery уведомляла вас по почте о злых намереньях хакеров на вас напасть.

# SHOULD EMAIL ALERTS BE SENT
EMAIL_ALERTS="OFF"
#
# CURRENT SUPPORT IS FOR SMTP, ENTER YOUR USERNAME AND PASSWORD HERE. LEAVE BLANK FOR OPEN RELAY
SMTP_USERNAME=""
#
# ENTER THE SMTP PASSWORD HERE. LEAVE BLANK FOR OPEN RELAY
SMTP_PASSWORD=""
#
# THIS IS WHO TO SEND THE ALERTS TO - EMAILS WILL BE SENT FROM ARTILLERY TO THIS ADDRESS
ALERT_USER_EMAIL="user@whatever.com"
#
# FOR SMTP ONLY HERE, THIS IS THE MAILTO
SMTP_FROM="Artillery Incident"
#
# SMTP ADDRESS FOR SENDING EMAILS, DEFAULT IS GMAIL
SMTP_ADDRESS="smtp.gmail.com"
#
# SMTP PORT FOR SENDING EMAILS DEFAULT IS GMAIL WITH TTLS
SMTP_PORT="587"

Для того чтобы все логи нашей программы писались в папку с программой то внизу в измените

# Specify SYSLOG TYPE to be local, file or remote. LOCAL will pipe to syslog, REMOTE will pipe to remote SYSLOG, and file will send to alerts.log in local artillery directory
SYSLOG_TYPE="LOCAL"

с LOCAL на FILE

Тогда в папке /var/artillery/logs/ будут сохраняться логи.

Если вы настроили ваш конфиг файл сохраняем его и закрываем.
И перезапускаем Artillery чтобы наши новые настройка вступили в силу.

python restat_server.py

Если мы проверим какие порты у нас открыты

netstat –antp | grep LISTEN

Спойлер

то мы увидим что все порты которые мы указывали к разделе Honeypot они здесь присутствуют.

Воспользовавшись утилитой nmap я вот что увидел.

Спойлер

Чтобы удалить IP адрес из Банлиста нужно запустить скрипт из каталога Artillery

python remove_ban.py 192.168.1.1

Для тех кто хочет защитить свою WINDOWS машину, посвящается

 

[Us3rn4me]

Исправьте команду: python restat_server.py
Должно быть: python restart_server.py
И разделите nano /var/artillery/config чтобы копипастерам было легче.

 

[rain.seller]

По мне лучше использовать правильно настроенный rkhunter, iptables и Maltrail.
Про последнего на форуме была статья https://codeby.net/threads/maltrail-sistema-obnaruzhenija-vredonosnogo-trafika.59192/#post-274205

Эта поделка считает пакеты, а делает за нее все делает iptables. Не проще бы было изучить iptables и сделать нечно подобное:
iptables -A SSH_FILTER -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 5 -j DROP
iptables -A SSH_FILTER -m recent --set -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j SSH_FILTER
Здесь автоматом, всё что идет на 22 порт, проходит фильтр "SSH_FILTER" и если в минуту подключений больше 5 - то в бан.
Свой IP в whitelist добавляем так:
iptables -A INPUT -s MY_IP -p tcp -m tcp --dport 22 -j ACCEPT

---- Automatically Merged Double Post ----

Забыл добавить.
Самая лучшая защита:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

 

[Ozon85]

# ANTI DOS WILL CONFIGURE MACHINE TO THROTTLE CONNECTIONS, TURN THIS OFF IF YOU DO NOT WANT TO USE
ANTI_DOS="OFF"
Порекомендуете Он или Офф?

# DO YOU WANT TO AUTOMATICALLY BAN ON THE HONEYPOT
HONEYPOT_BAN="OFF"
Что выбрать тут?

По мне лучше использовать правильно настроенный rkhunter, iptables и Maltrail.
Про последнего на форуме была статья Maltrail - система обнаружения вредоносного трафика

Эта поделка считает пакеты, а делает за нее все делает iptables. Не проще бы было изучить iptables и сделать нечно подобное:
iptables -A SSH_FILTER -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 5 -j DROP
iptables -A SSH_FILTER -m recent --set -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j SSH_FILTER
Здесь автоматом, всё что идет на 22 порт, проходит фильтр "SSH_FILTER" и если в минуту подключений больше 5 - то в бан.
Свой IP в whitelist добавляем так:
iptables -A INPUT -s MY_IP -p tcp -m tcp --dport 22 -j ACCEPT

---- Automatically Merged Double Post ----

Забыл добавить.
Самая лучшая защита:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

А можно росписать привила для начинающего? Плизз.. Охота знать что делаю.