Come difendersi dall'attaccante senza intaccare altri utenti dello stesso gateway NAT

Question

Come difendersi dall'attaccante senza intaccare altri utenti dello stesso gateway NAT

#1 da (1 voti)

1

Sto implementando un servizio Web e ho un processo daemon che rileva ripetuti tentativi di accesso non riusciti da una determinata fonte. Se ne verificano troppi, l'indirizzo IP viene bloccato per un determinato periodo di tempo.

Questo è simile al pacchetto fail2ban o (ora deprecato) di denyhosts.

La mia preoccupazione è che se l'attore cattivo si trova dietro un gateway NAT per una grande organizzazione (un'università o Fortune 1000 ad esempio), il divieto riguarderà tutti coloro che si trovano dietro quel gateway, non solo l'unica stazione che esegue attacchi di dizionario.

Esiste un metodo valido per evitare questo effetto collaterale?

AGGIORNAMENTO: Ho cambiato il titolo come suggerito e mi viene in mente che questo problema si applica a quasi ogni tipo di attacco, non solo l'attacco dizionario che ho delineato.

dictionary nat

posta AlanObject 26.04.2017 - 22:20

fonte

1 risposta

Leggi altre domande sui tag dictionary nat

Differenza tra IDS basati sulla conoscenza e ID basati sul comportamento Autenticazione offline basata sul numero di serie del dispositivo

score 1 · Answer 1

La tua soluzione è facile da configurare / codice, ma non è così giusta come hai affermato che l'ip potrebbe essere per una sola persona.

Potresti venire con le seguenti alternative:
1: Se l'attacco è per un particolare utente (diciamo utente a ), quindi dopo alcuni accessi non riusciti disabilita l'account e invia una email / notifica all'utente per attivare il suo / suo utente, e / o attivare l'account dopo 24 ore dell'ultimo attacco.
Disabilitare l'account significa rifiutare sia il fail che l'autenticazione corretta per l'utente dato, e invece di dire che questo account è disabilitato, o password errata, indica che è un nome utente o una password non validi.

2:
Dopo qualche attacco dall'ip, chiedi il captcha per i prossimi tentativi di accesso e verifica sempre prima il captcha. Se l'attaccante inizia a continuare ad attaccare con IP diversi per saltare il captcha, allora agisci in modo più intelligente e chiedi il captcha di ogni richiesta (supponi che sia la sicurezza del codice per il tuo server).
Captcha (se è abbastanza buono in realtà) ti rende sicuro che l'attaccante non è robot (che è il 99%).
Anche se l'autore dell'attacco può superare il captcha, torna indietro per il piano 1, disabilita l'utente a causa di troppi accessi non riusciti.