:+: ROOT.SO :+: Linux System Engineer's Blog

geoip와 스크립트 그리고 tcpwapper를 이용한 blueforce 차단 및 국가허용 방법

jaehun@me.com (JParker) — Thu, 27 Jul 2017 13:47:00 +0900

제가 관리하는 서버들 앞단에 방화벽이 없는 관계로 IPTABLES와 tcpwapper를 이용한 제어를 하고 있습니다.
다만, 중국과 같은 나라에서 엄청나게 brute-force 공격을 감행하는지라, 한국이외에 접속을 차단하고 싶었습니다.

저의 경우 한국만 들어오게 하고 나머지 나라에선 들어올 이유가 없으므로, geoiplookup을 이용하여 ssh 내에 시도할 때에 한국만 들어올 수 있도록 하였습니다.

1. GeoIP Database 설치

제일 먼저 진행 되어야 할 부분은 GeoIP Database를 설치하여야 합니다.

# yum install geoip

/usr/bin/geoiplookup 이 존재하는지 확인하여야 합니다.

# geoiplookup 8.8.8.8 
GeoIP Country Edition: US, United States
GeoIP City Edition, Rev 1: US, CA, California, Mountain View, 94035, 37.386002, -122.083801, 807, 650
GeoIP ASNum Edition: AS15169 Google Inc.

위와 같이 확인이 되었다면 정상적으로 GeoIP가 설치된 것입니다.

2. Script 작성

# vi /usr/local/bin/sshfilter.sh

#!/bin/bash
# 대문자로 공백으로 국가코드를 입력하면 해당국가만 허용됩니다. ex) KR FR CN
ALLOW_COUNTRIES="KR"
if [ $# -ne 1 ]; then
  echo "Usage:  `basename $0` <ip>" 1>&2
  exit 0 # return true in case of config issue
fi
COUNTRY=`/usr/bin/geoiplookup $1 | awk -F ": " '{ print $2 }' | awk -F "," '{ print $1 }' | head -n 1`
[[ $COUNTRY = "IP Address not found" || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE="ALLOW" || RESPONSE="DENY"
if [ $RESPONSE = "ALLOW" ]
then
  # 이상 없을 경우 바로 통과
  exit 0
else
  # 차단되었을 경우 기록 남김
  logger "$RESPONSE sshd connection from $1 ($COUNTRY)"
  exit 1
fi

이후 chmod 755 /usr/local/bin/sshfilter.sh 퍼미션을 수정하여 줍니다.

3. TCPWAPPER 설정

/etc/hosts.deny와 /etc/hosts.allow를 수정하여 세팅하여야 합니다.

# vi /etc/hosts.deny
# ssh 접근을 모든곳에서 차단합니다.
sshd: ALL
 
# vi /etc/hosts.allow
sshd: ALL: spawn /usr/local/bin/sshfilter.sh %a

위와 같이 설정하게 될 경우 ssh로 접속하는 모든 사람들에게 /usr/local/bin/sshfilter.sh <ip>가 수행됩니다.
실제 테스트는 아래와 같이 하며, 확인은 /var/log/messages 로그에서 확인 하실 수 있습니다.

# /usr/local/bin/sshfilter.sh 61.177.172.60

tail -f /var/log/messages 확인시 아래와 같은 항목 검출
 
DENY sshd connection from 61.177.172.60 (CN)

위와 같이 정상적으로 연결이 되었다면 sshfilter.sh 내에 허용한 국가에서만 접속을 할 수 있습니다.
따라서, 중국에서 들어오는 공격은 tcpwapper에 의하여 차단되는 원리입니다.

댓글 쓰기

MSR Tent Stake

jaehun@me.com (JParker) — Tue, 18 Apr 2017 14:38:31 +0900

MSR에서 제공되는 알파인 팩에 관련된 영상

댓글 쓰기

SNMPD LOG 안남게 하기

jaehun@me.com (JParker) — Mon, 17 Apr 2017 12:28:44 +0900

# 서버에 snmpd 데몬이 실행되는 동안에는 /var/log/messages 에 다음과 같은 메시지가 쌓입니다.

Apr 17 12:10:03 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:42223->[xxx.xxx.xxx.xxx]
Apr 17 12:15:01 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:48494->[xxx.xxx.xxx.xxx]
Apr 17 12:15:03 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:39339->[xxx.xxx.xxx.xxx]
Apr 17 12:20:02 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:47832->[xxx.xxx.xxx.xxx]
Apr 17 12:20:03 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:47496->[xxx.xxx.xxx.xxx]
Apr 17 12:25:02 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:44137->[xxx.xxx.xxx.xxx]
Apr 17 12:25:03 web snmpd[1355]: Connection from UDP: [xxx.xxx.xxx.xxx]:40542->[xxx.xxx.xxx.xxx]

snmpd 데몬을 오랫동안 사용하는 중이라면, 위와 같은 메시지가 messages log 의 상당수를 차지하게 됩니다.
이부분은 추후에 messages log 를 확인하는데 상당히 불편한 경우가 발생 할 수 있습니다.
정상적으로 snmpd 동작한다면 messages log 에 snmpd log 를 남기지 않도록 합니다.

/etc/init.d/snmpd 데몬파일 수정하기

# OPTIONS="-LS0-6d -Lf /dev/null -p /var/run/snmpd.pid" 
OPTIONS="-LS 2 d -Lf /dev/null -p /var/run/snmpd.pid -a"

위의 내용에서 # 부분으로 주석처리 하고 아래의 줄로 대체하고 저장합니다.

마지막으로 /etc/init.d/snmpd restart 후 확인을 하면 되겠지요?

[root@web log]# ps -ef | grep snmpd | grep -v grep
root      2619     1  0 12:27 ?        00:00:00 /usr/sbin/snmpd -LS 2 d -Lf /dev/null -p /var/run/snmpd.pid -a
[root@web log]#

댓글 쓰기

iptables로 국가별 차단하기.

jaehun@me.com (JParker) — Tue, 28 Mar 2017 15:19:00 +0900

오랜만에 글을 쓰게 되네요...

이전엔 커널과 iptables를 소스컴파일하여 사용하여 국가별 차단을 하였습니다.
하지만, 세월이 흐르고 많이 변했죠? Redhat계열에서는 RPM을 많이 사용하시므로
rpm과 한가지 소스 컴파일만 가지고 국가별 차단할 수 있는 모듈을 만들어 보도록하겠습니다.

1. 관련 자료 다운받기
본 자료는 oops.org에서 가져온 데이터이며, 설치에 대한 부분은 생략 하도록 하겠습니다.
GeoIP는 기존 free 버전을 사용하셔도 무방합니다.

RPM 소스

GeoIP-1.4.8-2.src.rpm

제가 만들어놓은 CentOS 6.8 기준입니다.

GeoIP-1.4.8-2.x86_64.rpm

GeoIP-debuginfo-1.4.8-2.x86_64.rpm

GeoIP-devel-1.4.8-2.x86_64.rpm

GeoIP-doc-1.4.8-2.x86_64.rpm

xtables-addons-1.47.1.tgz

xtables-addons-1.47.1.tgz 의 경우 ipv6관련으로 링크가 깨지는 문제로 수정해서 다시 패키징 해놓은 상태입니다.

2. 패키지 설치

2-1. yum 을 이용하여 kernel-debug-devel , iptables-devel 두가지를 설치 합니다.
2-2. 본 사이트에서 제공하는 GeoIP 패키지 (srpm제외)를 설치합니다.
2-3. xtables 애드온을 설치합니다.

# tar xvfz xtables-addons-1.47.1.tgz 
# cd xtables-addons-1.47.1
 # ./configure; make; make install
 # cd geoip
 # cp xt_geoip* /usr/sbin/

위와 같이 하게 되면 설치가 완료되며, 해당 패키지들은 설정이 완료됩니다.2-4. 설정해당 모듈은 /usr/share/xt_geoip 내에 설정 됩니다. 초반에는 해당 디렉토리가 없으므로 디렉토리 생성을 합니다.

 # mkdir /usr/share/xt_geoip ;  cd /usr/share/xt_geoip

위와 같이 진행하게 되면, 이제 IP대역을 다운 받아와야 합니다.

# /usr/sbin/xt_geoip_dl 
http://geolite.maxmind.com/download/geoip/database/GeoIPv6.csv.gz 
Resolving geolite.maxmind.com... 104.16.38.47, 104.16.37.47, 2400:cb00:2048:1::6810:252f,
Connecting to geolite.maxmind.com|104.16.38.47|:80... connected. 
>HTTP request sent, awaiting response... 200 OK 
Length: 1402286 (1.3M) [application/octet-stream] 
Saving to: “GeoIPv6.csv.gz” 100%[===================================>] 1,402,286
(28.3 MB/s) - “GeoIPv6.csv.gz” saved [1402286/1402286] 
 http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip 
Reusing existing connection to geolite.maxmind.com:80. 
HTTP request sent, awaiting response... 200 OK Length: 2163552 (2.1M) [application/zip] 
Saving to: “GeoIPCountryCSV.zip” 100%[===================================>] 2,163,552
(54.1 MB/s) - “GeoIPCountryCSV.zip” saved [2163552/2163552]
 
# ls -l
-rw-r--r-- 1 root root  2163552 Mar  8 06:20 GeoIPCountryCSV.zip 
-rw-r--r-- 1 root root 10814456 Mar  8 06:18 GeoIPCountryWhois.csv
-rw-r--r-- 1 root root  5100890 Mar  8 06:19 GeoIPv6.csv

세가지의 디렉토리가 보일 것입니다. GeoIPCountryCSV.zip의 경우 GeoIPCountryWhois.csv를 압축하여 놓은 것이므로, 두가지만 입력하도록 합니다. 아까 복사해두었던 명령어중 한가지인 xt_geoip_build 명령을 이용합니다.

# /usr/sbin/xt_geoip_build GeoIPCountryWhois.csv
144432 entries total     
0 IPv6 ranges for A1 Anonymous Proxy    
32 IPv4 ranges for A1 Anonymous Proxy                            
 .
                            . 많은 데이터가 있으므로 중략...
                            .
0 IPv6 ranges for ZM Zambia    
66 IPv4 ranges for ZM Zambia     
0 IPv6 ranges for ZW Zimbabwe    
63 IPv4 ranges for ZW Zimbabwe

해당 데이터가 업로드되었습니다. 만일 perl error가 발생되시는 분들이 있다면 epel에서 패키지를 추가로 설치하셔야 합니다.

# yum install  perl-Text-CSV_XS --enablerepo=epel

위와 같이 정상적으로 설치가 된 경우 아래와 같이 iptables 명령어를 추가하여 사용하실 수 있습니다.

# iptables -A INPUT -m geoip --src-cc CN -j DROP 
# iptables -vL | grep DROP  354 19850 DROP       
 all  --  any    any     anywhere             anywhere             Source country: CN

위와 같이 나오게 될 경우 정상적으로 중국 국가별로 차단하는 것입니다.

댓글 쓰기

금산 무지개 다리 야영장

jaehun@me.com (JParker) — Wed, 22 Mar 2017 13:08:12 +0900

무료이며, 화장실이 있습니다. 다리 뒤쪽으로 슈퍼가 있어 물 공급이 원할합니다.

밤에 별들이 무수히 쏟아지는 경험을 하실 수 있습니다.
아래는 제가 소장하고 있는 드론으로 찍은 사진들입니다. 클릭하시면 원본사이즈를 보실 수 있습니다.

댓글 쓰기