Fail2ban + Imap

Discusión en 'GNU/Linux' iniciado por K.D.S, 12 Aug 2017.

Suscripciones al tema:
Este tema está siendo suscrito por: 3 usuarios.
  1. K.D.S

    K.D.S Capo Miembro Regular

    Registrado:
    20 Jan 2006
    Mensajes:
    377
    Likes Recibidos:
    53
    Trofeos:
    133
    Estimados, en el servidor de correos zimbra estoy teniendo ataques de fuerza bruta por el puerto de imap y no logro hacer funcionar el fail2ban con ese filtro, lo tengo funcionando son postfix, sasl y webmail del zimbra, esto es lo que tengo en la configuración del fail2ban.

    Code:
    Algunos de los ataques en el archivo mailbox.log
    2017-08-12 20:30:18,001 INFO  [ImapSSLServer-4858] [ip=218.75.150.254;] imap - authentication failed for [juanito] (invalid password)
    2017-08-12 20:27:23,633 INFO  [ImapSSLServer-4858] [ip=218.94.106.115;] imap - authentication failed for [[email protected]] (invalid password)
    
    Code:
    Lo mismo pero en el archivo audit.log
    2017-08-12 20:30:18,001 WARN  [ImapSSLServer-4858] [ip=218.75.150.254;] security - cmd=Auth; [email protected]; protocol=imap; error=authentication failed for [juanito], invalid password;
    2017-08-12 20:27:23,633 WARN  [ImapSSLServer-4858] [ip=218.94.106.115;] security - cmd=Auth; [email protected]; protocol=imap; error=authentication failed for [[email protected]], invalid password;
    
    Code:
    Esto es lo que tengo en el archivo /filter.d/imap.conf
    
    
    # Fail2Ban configuration file
    #
    # Author: Cyril Jaquier
    #
    # $Revision: 510 $
    #
    
    
    [Definition]
    
    
    failregex = \[ip=<HOST>;\] imap - authentication failed for .* \(invalid password\)$
    
    
    ignoreregex =
    
    Code:
    Esto en el archivo jail.conf
    
    [imap]
    enabled = true
    port = imap
    filter = imap
    action = iptables-multiport[name=Imap, port=imap, protocol=tcp]
    logpath = /opt/zimbra/log/mailbox.log
    bantime = 628800
    maxretry = 0
    
    Code:
    Al reinicar el servicio de fail2ban no muestra ningun error, pero aun asi no funciona el filtro
    
    [email protected]:~# fail2ban-client status imap
    Status for the jail: imap
    |- filter
    |  |- File list:        /opt/zimbra/log/mailbox.log
    |  |- Currently failed: 0
    |  `- Total failed:     0
    `- action
      |- Currently banned: 0
      |  `- IP list:
      `- Total banned:     0
    [email protected]:~#
    
    Code:
    Descubrí como correr un test con el filtro configurado y acá me dice que encontró 75 coincidencias, eso quiere decir que el filtro funciona pero no se esta ejecutando la acción de baneo
    
    [email protected]:~# fail2ban-regex /opt/zimbra/log/mailbox.log /etc/fail2ban/filter.d/imap.conf
    
    
    Running tests
    =============
    
    
    Use   failregex file : /etc/fail2ban/filter.d/imap.conf
    Use         log file : /opt/zimbra/log/mailbox.log
    
    
    
    
    Results
    =======
    
    
    Failregex: 75 total
    |-  #) [# of hits] regular expression
    |   1) [75] \[ip=<HOST>;\] imap - authentication failed for .* \(invalid password\)$
    `-
    
    
    Ignoreregex: 0 total
    
    
    Date template hits:
    |- [# of hits] date format
    |  [44098] Year-Month-Day Hour:Minute:Second[,subsecond]
    `-
    
    
    Lines: 44969 lines, 0 ignored, 75 matched, 44894 missed
    Missed line(s):: too many to print.  Use --print-all-missed to print all 44894 lines
    
     
    Last edited: 12 Aug 2017
  2. K.D.S

    K.D.S Capo Miembro Regular

    Registrado:
    20 Jan 2006
    Mensajes:
    377
    Likes Recibidos:
    53
    Trofeos:
    133
    Me di cuenta y agregue el port de imaps pero aun asi no funcionaba el filtro, hasta que me fije en la hora de los log del zimbra y estaban con 1 hora de retraso, actualice la zona horaria, lo puse a la hora y listo comenzó a capturar los ataques por imaps [​IMG], malditos cambios de hora, siempre dando la cacha.
     
    VittokoX, miguelwill, nibal2 y 3 otros les gusta esto.
  3. miguelwill

    miguelwill Matrix Operator Staff MOD Old School Miembro Regular

    Registrado:
    23 Feb 2004
    Mensajes:
    11,905
    Likes Recibidos:
    1,192
    Trofeos:
    198
    xD si, estos cambios suelen dar jugo con ese tipo de filtros

    ojo que en las nuevas versiones de zimbra vía cli se pueden habilitar filtros similares a los que usa fail2ban, bloqueando la IP remota en caso de varios logins fallidos
    el filtro que incluye vía panel web solo permitía bloquear la cuenta después de un umbral de logins fallidos y un periodo de tiempo

    Enviado desde mi MSM8916 for arm64 mediante Tapatalk
     
  4. K.D.S

    K.D.S Capo Miembro Regular

    Registrado:
    20 Jan 2006
    Mensajes:
    377
    Likes Recibidos:
    53
    Trofeos:
    133
    Desde ayer que empezo a correr el filtro llevo mas de 100 ip bloqueadas, me tienen de casero estos ctm...
     
    A miguelwill le gusta esto.
  5. miguelwill

    miguelwill Matrix Operator Staff MOD Old School Miembro Regular

    Registrado:
    23 Feb 2004
    Mensajes:
    11,905
    Likes Recibidos:
    1,192
    Trofeos:
    198
    para esos casos comienzo a aplicar filtro por rangos de IP
    revisa cuáles son los más recurrentes , suelen venir de China y Europa del este
    algunos de Alemania o de usa

    Enviado desde mi MSM8916 for arm64 mediante Tapatalk
     
  6. K.D.S

    K.D.S Capo Miembro Regular

    Registrado:
    20 Jan 2006
    Mensajes:
    377
    Likes Recibidos:
    53
    Trofeos:
    133
    Lo que estoy haciendo es filtrar el log del fail2ban y hago una lista con esas ip y las agrego a mi blacklist permanente y las bloqueo por iptables, pq una vez intente bloquear rangos de ip y después no llegaban correos de ciertas partes que si debian llegar xD
     
  7. miguelwill

    miguelwill Matrix Operator Staff MOD Old School Miembro Regular

    Registrado:
    23 Feb 2004
    Mensajes:
    11,905
    Likes Recibidos:
    1,192
    Trofeos:
    198
    claro, pero para eso está whois, así puedes ver cuáles son de países seguros y cuáles potenciales rangos dinámicos

    Enviado desde mi MSM8916 for arm64 mediante Tapatalk
     
  8. Soujiro

    Soujiro Capo Miembro Regular

    Registrado:
    14 Jan 2008
    Mensajes:
    429
    Likes Recibidos:
    156
    Trofeos:
    98
  9. K.D.S

    K.D.S Capo Miembro Regular

    Registrado:
    20 Jan 2006
    Mensajes:
    377
    Likes Recibidos:
    53
    Trofeos:
    133
    Gracias, estoy revisando algunas ip y la mayoria son de china, rusia, india y canada entre otras, asi que estoy aplicando bloqueos de rangos de ip como lo indica la pagina, saludos
     

Compartir!

Share
Loading...