Sentinel - blokuje email.seznam.cz

Všeobecná diskuze [CZ]
1

na greylistu sentinelu se ocitlo ip 77.75.78.196
coz je email.seznam.cz z duvodu port_scan

  1. jak se tohle seznamu povedlo?
  2. nebylo by lepsi tuto ip z greylistu odstranit?

PS: nebavi mne neustale whitelistovat sluzby seznamu
pred chvili mel cast mailserveru na blocklistech
ted zas tohle…

update:
tak je na tom seznamu i calendar.google.com
a dalsi pulka googlu a microsoftu
takze nepouzitelne

2

mimochodem: podarilo se mi asi pred mesicem dostat greylist turris sentinel do banIP v klasickem OpenWRT a ted s novou aktualizaci tohoto balicku je mozne tento seznam ip adres pouzit jednoduchym zaskrtnutim volby v gui

3

Prověřil jsem to a pravděpodobně se nejedná o útok, nýbrž o kombinaci několika faktorů, které vedly k falešné detekci:

  1. velmi rozsáhle a intenzivně využívaná služba (mnoho uživatelů a časté využívání, často “nonstop”),
  2. více zařízení za jednou adresou (NAT),
  3. nesprávně ukončená TCP spojení - ukončená jen na klientské straně, takže server poslal paket na port, který už byl zavřený; vlivem NAT může docházet i k tomu, že takový paket doputuje na jiné zařízení, než kde spojení původně bylo (port je už přiřazen jinému než původně).

Pokud je takových detekcí mnoho, je dostane se adresa na greylist.

Přidal jsem teď tuto i mnoho dalších adres (viz níže) na whitelist, takže už by se na greylist dostávat neměly. Systémovým řešením ale bude vylepšení algoritmu, aby podobné situace nebyly vyhodnocovány jako útoky. Již to s kolegy řešíme.

Adresy nejpoužívanějších služeb jsou nyní na whitelistu a už by k tomu tedy nemělo docházet. Ponechání na whitelistu trvale není dobrým řešením (tím je vylepšení algoritmu), v minulosti jsme už řešili napadené servery velkých služeb a tedy je potřeba detekovat případné útoky i zde.

4 Likes
4

dekuji za srozumitelnou odpoved a rychlou reakci

projektu turris a sentinel velmi fandim
zmineny list jsme nasadili na jeden paterni firewall akademie věd
(1x pripojeni k pasnet a 5x 10gbs verejne site jednotlivych instituci velikosti /24)

:slight_smile: byl to docela hukot jak se zacali lide ozyvat co vsechno jim nefunguje

blokovani zlobivych IP na firewallu je skoro nutnost
v tuto chvili je na zakladnim blacklistu cca 100tis. elementu
a dalsi IP blokujeme pro urcite sluzby (napr. wordpress) pomoci crowdsec a dalsich
presto tu mame napriklad jedny webove stranky, ktere pritahuji utoky jako magnet
a zaznamenavame u nich i desitky pokusu za vterinu z ruznych IP adres
(tam uz to musime zahazovat rovnou na firewallu…)

pokusim se (se stazenym zadkem) znovu nasadit opraveny greylist
a uvidime co se stane…

PS: pokud by nekdo hledal umisteni pro nejaky honeypot, tak tady je idealni misto

2 Likes
5

Děkujeme za podporu :wink:

Ten greylist by se v podstatě neměl používat pro blokace směrem ven, protože to může mít mnohem zásadnější dopady na provoz, než při blokaci směrem dovnitř, kterou dělá dynamický firewall systému Sentinel na našich zařízeních. Nebyl k tomu navržen a takové použití obecně nedoporučujeme.

Stejně tak nedoporučujeme jeho využití pro blokaci přístupu k veřejně přístupným službám, např. webům. Už jsme řešili třeba případy, kdy v síti nějakého ISP byl zavirovaný počítač, který útočil - a protože tam byl CGNAT (vzhledem k nedostatku adres IPv4 dnes bohužel běžná věc, i u velkých ISP), za jednou veřejnou IP adresou byl větší počet zákazníků, kteří tak byli všichni odříznuti od webů používajících tuto blokaci.

Ještě je tu samozřejmě fakt, že publikovaný greylist je jen snímek aktuálního blokačního seznamu vydávaný jednou denně. Mohou tak na něm být i adresy, které už jsou z dynamického firewallu vyřazeny.