Перебор паролей PPPoE учеток, или как защититься от этого?

yes · Сообщение **yes** » Пн сен 08, 2008 12:17 am

На днях столкнулся с такой проблемой, в логах сыпалось в течении 3 суток ошибка авторизации, типа происходил перебор паролей, а может и просто тупо коннектился к серверу с неправильным паролем клиент, так вот, я не смог сразу поймать этого барана, так как в логах PPPoE токо МАК адрес записывается, больше ниче.

Код: Выделить всё

Sep  7 20:52:10 ServerPPPoE pppoe-server[2352]: Sent PADT
Sep  7 20:52:10 ServerPPPoE pppoe-server[2352]: PADT: Generic-Error: ^P^Da
Sep  7 20:52:10 ServerPPPoE pppoe-server[2352]: PADT: Generic-Error:
Sep  7 20:52:10 ServerPPPoE pppoe-server[2352]: Sent PADT
Sep  7 20:52:13 ServerPPPoE pppoe-server[6873]: Session 326 created for client 02:1b:11:78:b7:18 (10.67.16.70) on eth2 using Service-Name ''
Sep  7 20:52:13 ServerPPPoE pppd[6873]: Plugin radius.so loaded.
Sep  7 20:52:13 ServerPPPoE pppd[6873]: RADIUS plugin initialized.
Sep  7 20:52:13 ServerPPPoE pppd[6873]: Plugin radattr.so loaded.
Sep  7 20:52:13 ServerPPPoE pppd[6873]: RADATTR plugin initialized.
Sep  7 20:52:13 ServerPPPoE pppd[6873]: pppd 2.4.4 started by root, uid 0
Sep  7 20:52:13 ServerPPPoE pppd[6873]: Using interface ppp13
Sep  7 20:52:13 ServerPPPoE pppd[6873]: Connect: ppp13 <--> /dev/pts/15
Sep  7 20:52:15 ServerPPPoE pppd[6873]: Peer -f failed CHAP authentication
Sep  7 20:52:15 ServerPPPoE pppd[6873]: Connection terminated.
Sep  7 20:52:15 ServerPPPoE pppoe[6874]: read (asyncReadFromPPP): Session 326: Input/output error
Sep  7 20:52:15 ServerPPPoE pppd[6873]: Exit.
Sep  7 20:52:15 ServerPPPoE pppoe-server[2352]: Session 326 closed for client 02:1b:11:78:b7:18 (10.67.16.70) on eth2

Код: Выделить всё

2008-09-08 01:35:47 LOG_WARNING: AUTH [-f] NAS: 3 Login Not Exist or Expire  CID: pppoe
2008-09-08 01:35:47 LOG_INFO: AUTH [-f] AUTH REJECT CID pppoe
2008-09-08 01:35:52 LOG_WARNING: AUTH [-f] NAS: 3 Login Not Exist or Expire  CID: pppoe
2008-09-08 01:35:52 LOG_INFO: AUTH [-f] AUTH REJECT CID pppoe
2008-09-08 01:35:59 LOG_WARNING: AUTH [-f] NAS: 3 Login Not Exist or Expire  CID: pppoe
2008-09-08 01:36:00 LOG_INFO: AUTH [-f] AUTH REJECT CID pppoe

Как мне избежать этого?
К примеру, если данный "баран" через N попыток не смог авторизоваться, заблочить его на N минут.

Это просто моя фантазия, ну если есть какой то Firewall? который бы мог блочить эти запросы, и настроить сам PPPoE сервер? а может есть железка?

короче подскажите, что делать с этим

eddy_mut · Пн сен 08, 2008 6:45 am

В вашем случае в логе видно и то и другое (MAC+IP). Ищите по базам клиентов. Вычисляйте по управляемым коммутаторам вплоть до порта.

Sep 7 20:52:15 ServerPPPoE pppoe-server[2352]: Session 326 closed for client 02:1b:11:78:b7:18 (10.67.16.70) on eth2

Я на такие вещи вообще не обращаю внимания. Судя по всему это просто чей-то ненастроенный роутер долбится с настройками по умолчанию.

yes · Сообщение **yes** » Пн сен 08, 2008 6:57 am

дык, а если таких тупых куча будет, сервер не загнется?
IP не клиента, это IP выдал PPPD, у меня статика.

eddy_mut · Пн сен 08, 2008 7:01 am

А вы представьте себе как работают DSL операторы, у которых сессии исчисляются десятками тысяч? Для этого и соответствующий сервер ставится.
Думаю, если сервер железно тянет 1000 сессий, то он не загнется от ста неудачных попыток.

eddy_mut · Пн сен 08, 2008 7:02 am

IP не клиента, это IP выдал PPPD, у меня статика.

Значит ищем по MAC-адресу. Если оборудование управляемое.

yes · Сообщение **yes** » Пн сен 08, 2008 7:07 am

eddy_mut писал(а):
IP не клиента, это IP выдал PPPD, у меня статика.
Значит ищем по MAC-адресу. Если оборудование управляемое.

как раз управляемое.
Но не дело же каждый раз искать, есть ли готовое решение?

eddy_mut · Пн сен 08, 2008 7:26 am

Готового решения нет. Можете сами придумывать автоматическое поднятие блокирующего правила фаерволла после неудачных попыток. Но стоит ли оно того? Повторюсь - никто не заморачивается с этим.

lasik · Пн сен 08, 2008 7:44 am

тупо иногда просмтриваю логи, потом ловлю на портах свитчей, и ставлю в бан мак адрес на порту, а скоро поднимму dhcp, и там будет вообще просто, все что не имеет занесенного в базу mac адреса, вон из сети, так проще всего бороться, а насчет того что юзер поменял оборудование.
В договоре написано что в нашей сети можно использовать только оборудование заргистрированое нашим специалистом, и смена оборудования без ведома администрации ведет к отключению как подачи Интернета, так и доступа в сеть

eddy_mut · Пн сен 08, 2008 8:20 am

Планируете использовать модуль Dhcphosts + IPGuard?

lasik · Пн сен 08, 2008 8:29 am

да, планирую, только найду подходящее железо

yes · Сообщение **yes** » Пн сен 08, 2008 11:46 am

eddy_mut писал(а):Готового решения нет. Можете сами придумывать автоматическое поднятие блокирующего правила фаерволла после неудачных попыток. Но стоит ли оно того? Повторюсь - никто не заморачивается с этим.

Я что то не понял, разве есть Firewall для PPPoE? то есть Firewall который умеет блочить по МАК?

eddy_mut · Пн сен 08, 2008 12:07 pm

В MPD есть возможность прописывать черный список.
Или стандартными правилами фаерволла в системе.

ran · Сообщение **ran** » Пн сен 08, 2008 1:41 pm

Готового решения нет

та чё там нет... управляемые коммутаторы с фильтрацией по макам или даже с еап авторизацией на радиусе

mr_gfd · Сб сен 13, 2008 1:59 am

есть для ipfw расширение для работы с mac адресами. а PPPoE - это все тот же IP. из этого вытекает невозбранно

.

ran · Сообщение **ran** » Сб сен 13, 2008 6:16 am

mr_gfd писал(а):PPPoE - это все тот же IP

с какой такой радости?

PPPoE - PPP over Ethernet то бишь работает на канальном уровне (уровень 2 модели OSI) и о сетевом уровне (уровень 3), а значит и об IP, он ваще ничё не знает...