/docs/MyDocs

<html><head><title>Preventing brute force attacks using iptables recent matching</title></head><body>

 

<h1>Preventing brute force attacks using iptables recent matching</h1>

 

<h2>General idea</h2>

<p>

In recent times our network has seen a lot of attempts to brute-force ssh

passwords.  A method to hamper such attacks by blocking attacker's IP

addresses using iptables 'recent' matching is presented in this text:

</p>

<p>

If the amount of connection attempts from a certain IP address exceeds a

defined threshold, this remote host is blacklisted and further incoming

connection attempts are ignored.  The host is only removed from the blacklist

after it has been stopped connecting for a certain time.

</p>

 

<h2>Software requirements</h2>

<p>

<a href="http://www.kernel.org/">Linux kernel</a> and <a href="http://www.netfilter.org/">iptables</a> with 'recent' patch.

</p>

 

<p>

<em>It seems like this patch has entered the mainline some time ago.  'Recent'

matching e.g. is known to be included with kernels 2.4.31 and 2.6.8 of <a href="http://www.debian.org/">Debian</a> <a href="http://www.debian.org/releases/stable/">stable</a> ('sarge').</em>

</p>

 

 

<p>

</p><h2>Implementation</h2>

<p>

We begin with empty tables...

</p><pre>iptables -F

</pre>

...and add all the chains that we will use:

<pre>iptables -N ssh

iptables -N blacklist

</pre>

 

<h3>Setup <tt>blacklist</tt> chain</h3>

<p>

One chain to add the remote host to the blacklist, dropping the connection attempt:

</p><pre>iptables -A blacklist -m recent --name blacklist --set

iptables -A blacklist -j DROP

</pre>

The <em>duration</em> that the host is blacklisted is controlled by the match in the <tt>ssh</tt> chain.

<p></p>

 

 

 

<h3>Setup <tt>ssh</tt> chain</h3>

 

<p>

In the <tt>ssh</tt> chain, incoming connections from blacklisted hosts are

dropped.  The use of <tt>--update</tt> implies that the timer for the duration

of blacklisting (600 seconds) is restarted every time an offending packet is

registered.  (If this behaviour is not desired, <tt>--rcheck</tt> may be used

instead.)

 

</p><pre>iptables -A ssh -m recent --update --name blacklist --seconds   600 --hitcount   1 -j DROP

</pre>

 

These rules are just for counting of incoming connections.

 

<pre>iptables -A ssh -m recent --set    --name counting1

iptables -A ssh -m recent --set    --name counting2

iptables -A ssh -m recent --set    --name counting3

iptables -A ssh -m recent --set    --name counting4

</pre>

 

With the following rules, blacklisting is controlled using several rate

limits.  In this example, a host is blacklisted if it exceeds 2 connection

attempts in 20 seconds, 14 in 200 seconds, 79 in 2000 seconds or 399 attempts

in 20000 seconds.

 

<pre>iptables -A ssh -m recent --update --name counting1 --seconds    20 --hitcount   3 -j blacklist

iptables -A ssh -m recent --update --name counting2 --seconds   200 --hitcount  15 -j blacklist

iptables -A ssh -m recent --update --name counting3 --seconds  2000 --hitcount  80 -j blacklist

iptables -A ssh -m recent --update --name counting4 --seconds 20000 --hitcount 400 -j blacklist

</pre>

 

The connection attempts that have survived this scrutiny are accepted:

<pre>iptables -A ssh -j ACCEPT

</pre>

<p></p>

 

 

 

<h3>Setup INPUT chain</h3>

Allow packets that belong to existing connections:

<pre>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

</pre>

Allow all packets from loopback interface:

<pre>iptables -A INPUT -i lo -j ACCEPT

</pre>

 

Optionally we may allow all packets from certain friendly subnets.  However

this should be used sparingly and it should be kept in mind that hosts from

friendly subnets may be compromised and out of a sudden be not so friendly

anymore...

 

<pre>iptables -A INPUT -s aa.bb.cc.0/24 -j ACCEPT

</pre>

 

Now we direct all incoming ssh connections to the chain of the same name:

<pre>iptables -A INPUT -p TCP --dport ssh -m state --state NEW -j ssh

</pre>

 

What remains in this chain has no right to continue:

<pre>iptables -A INPUT -j DROP

</pre>

 

 

<h3>Variations</h3>

<ul>

 

<li>Depending on personal taste, the check against the blacklist (first rule

of <tt>ssh</tt> chain) might be moved to the top of the <tt>INPUT</tt> chain

so that all communication (not only subsequent connection attempts) from the

blacklisted host is blocked immedeately.</li>

 

<li>Many other packet matching criteria might be conceived that would

warrant putting the sender on the blacklist.</li>

 

<li>Identical or similar effects possibly may be achieved using different

extensions to iptables.</li>

 

</ul>

 

 

<h2>Limitations</h2>

<h3>Denial of Service</h3>

<p>

Theoretically, the described approach opens a DoS vulnerability, that may be

exploited using SYN-packets with fake sender address to disable ssh

connections from a certain host.  Therefore 'recent' matching should not be

used, when the ability to connect to the machine from any location and at all

times is mission-critical.  When it is not, the problem of DoS may be

addressed when it happens, which probably is never.

</p>

<p>

Also it should be mentioned, that the ssh daemon itself in its current

implementation is vulnerable to DoS: There is an upper value for concurrent

connections.

</p>

 

<h3>No substitute for secure passwords</h3>

<p>

The approach described here by no means is a substitute for using secure

passwords that are difficult to guess and to brute-force!  Disabling root

logins in sshd is very much recommended!  (Oh, by the way: There is also an

option to disallow empty passwords for sshd. ;-)

</p>

 

<h3>Security by Obscurity</h3>

<p>

It should be noted that this scheme <em>partly</em> employs methods of

'security by obscurity' to increase its effectivity.  A casual attacker

probably will be blocked for a long time (possibly forever) after serveral

tries.  Yet a determined, observant attacker still may try passwords at the

rate specified by the <tt>counting4</tt> rule.  However this is still a

considerable improvement compared to no limit at all.

</p>

<p>

Often 'security by obscurity' is frowned upon as offering 'no real' security.

Yet, such an opinion is undifferentiated.  It may be very well true that

secrecy does not increase the hardness of the system with respect to 'the most

elaborate attack' that still will be averted.  However for sure it is well

suited to stall casual attacks and by such reduce the overall number of

attacks.  Seen in this light, it might also be sensible to use a non-standard

port for ssh service.

</p>

 

<h2>Further Reading</h2>

<ul>

<li><a href="http://snowman.net/projects/ipt_recent/">Iptables recent patch web site</a></li>

<li><a href="http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html">Netfilter Extensions HOWTO</a></li>

</ul>

 

<h2>About this document</h2>

<p>

These are some random scribblings prepared for a meeting of sysadmins at <a href="http://www.tum.de/">TUM</a> <a href="http://www.physik.tu-muenchen.de/">Physik-Department</a>.  The concept

was motivated by <a href="http://e18.physik.tu-muenchen.de/%7Erkuhn/">Roland Kuhn</a>.  The author of this text

is Thiemo Nagel.  Please send comments to <em>tnagel at

e18.physik.tu-muenchen.de</em>.

</p>

 

</body></html>