BSD界隈四方山話

第114回 blacklistd(8)を使ってsshd DoS攻撃を防止する方法 pf編

この記事を読むのに必要な時間:およそ 3 分

blacklistd(8)でsshd DoS攻撃を防止する方法 pf編

前回はFreeBSD 11.0-RELEASEにNetBSDからマージされたblacklistd(8)の使い方を紹介しました。blacklistd(8)を使うと設定に基づいて規定の回数ログインに失敗した接続を自動的にブロックするといったことを実現できます。DoS攻撃やブルートフォース攻撃に対する緩和機能として利用できます。

前回はファイアウォールにipfw(4)を使う方法を紹介しました。今回はファイアウォールにpf(4)を使う方法を紹介します。pf(4)はOpenBSD由来のファイアウォール機能です。FreeBSDネイティブなファイアウォール機能ではありませんが,抽象度の高い設定が可能で扱いやすいことから人気があります。FreeBSDでこれから新しくファイアウォール機能を使う場合にはipfw(4)かpf(4)かどちらかを選ぶというのが現在では主な選択肢ではないかと思います。

まず,/etc/rc.confファイルに次のような設定を追加します。

リスト /etc/rc.confに追加する設定

# sshd
sshd_enable="YES"
sshd_flags="-o UseBlacklist=yes"

# blacklistd
blacklistd_enable="YES"
blacklistd_flags="-f"
#blacklistd_flags="-r"

# firewall - pf
pf_enable="YES"

sshdはデフォルトの設定ではblacklistd(8)に対応していませんので,⁠sshd_flags="-o UseBlacklist=yes"」のようにフラグを追加して機能を有効にします。blacklistd(8)を起動するために「blacklistd_enable="YES"」を追加し,さらにファイアウォール機能pf(4)を有効にするために「pf_enable="YES"」を追加します。

blacklistd(8)がpf(4)を使うように/etc/pf.confファイルを作成します。内容は次のようにします。すでにpf(4)を使っていて/etc/pf.confファイルがある場合には,次の設定をどこかに追加しておいてください。ext_if=には実際にブロックルールを適用したいインターフェース名を指定します。インターフェース名はbge0とかixgb1とかシステムごとに異なっていますので,ifconfig(8)コマンドで確認します。

リスト /etc/pf.confの内容

ext_if=インターフェース名
anchor "blacklistd/*" in on $ext_if

この状態でシステムを再起動すると,次のようにsshd(8)がblacklistd(8)を利用可能な状態で起動してきます。

 blacklistd(8)に対応したsshd(8)

# ps auxww | grep sshd
root    650   0.0  0.7  57812  6940  -  Is   14:14   0:00.00 /usr/sbin/sshd -o UseBlacklist=yes
#

pf(4)が有効になっているので,たとえば次のようなフィルタリングルールが動作していることを確認できます。

 pf(4)フィルタリングルール

# pfctl -sr
anchor "blacklistd/*" in on インターフェース名 all
# pfctl -sr -a blacklistd/22
#

blacklistd(8)も次のように動作していることを確認できます。

 blacklistd(8)の動作も確認

# ps auxww | grep blacklistd
root    703   0.0  0.3  14772  2576  -  Ss   14:14   0:00.01 /usr/sbin/blacklistd -f
#

blacklistd(8)の保持しているルールはblacklistclt(8)コマンドで次のように確認できます。システムを再起動した段階では次のようになんのルールも入っているはずです。

 まだ何も検出していない状態のblacklistd(8)

# blacklistctl dump -a
        address/ma:port	id	nfail	last access
#

blacklistd(8)の設定は/etc/blacklistd.confです。このファイルはデフォルトでは次のようになっています。この場合,sshにおける認証が3回失敗すると以後24時間はアクセスできない状態になります。

リスト blacklistd(8)の設定ファイルである/etc/blacklistd.conf

# $FreeBSD: releng/11.1/etc/blacklistd.conf 301226 2016-06-02 19:06:04Z lidl $
#
# Blacklist rule
# adr/mask:port	type	proto	owner		name	nfail	disable
[local]
ssh		stream	*	*		*	3	24h
ftp		stream	*	*		*	3	24h
smtp		stream	*	*		*	3	24h
submission	stream	*	*		*	3	24h
#6161		stream	tcp6	christos	*	2	10m
*		*	*	*		*	3	60

# adr/mask:port	type	proto	owner		name	nfail	disable
[remote]
#129.168.0.0/16	*	*	*		=	*	*
#6161		=	=	=		=/24	=	=
#*		stream	tcp	*		=	=	=

ほかのホストからsshでログインを試み,3回失敗してみます。すると次のように,4回目はそもそもサーバへの接続がブロックされるようになります。

 blacklistd(8)経由でアクセスがブロックされた状態

$ ssh 192.168.185.50
Password for daichi@virt.ongs.co.jp:
Password for daichi@virt.ongs.co.jp:
Password for daichi@virt.ongs.co.jp:    ← 3回目の失敗
Permission denied (publickey,keyboard-interactive).
$ ssh 192.168.185.50                    ↓ 接続できずにタイムアウト
ssh: connect to host 192.168.185.50 port 22: Operation timed out
$

この状態でpf(4)のルールをチェックすると,22番ポートへのアクセスがブロックされたことを確認できます。

 pf(4)のルールにブロックが追加されたことを確認

# pfctl -sr
anchor "blacklistd/*" in on インターフェース名 all
# pfctl -sr -a blacklistd/22      ↓ 新しく追加されたルール
block drop in quick proto tcp from  to any port = ssh
#

blacklistctl(8)コマンドでブロック情報を確認すると,次のようにルールが追加されたことを確認できます。

 blacklistd(8)経由でブロックルールが追加されたことを確認

# blacklistctl dump -a
        address/ma:port id      nfail   last access
  192.168.185.1/32:22   OK      3/3     2017/09/06 15:32:17
#

blacklistd(8)はデフォルトの設定だと/var/db/blacklistd.dbに接続エントリ情報を保持していますので,再起動してもこのデータは保持されたままです。再起動後にこの保持しているデータに従ってもう一度ブロックルールを適用するか,またはルールをすべてクリアするかをblacklistd(8)のオプションで指定できます。-fならルールをクリア,-rならルールをベースにブロックルールを再適用します。最初に示した/etc/rc.confにこのオプションを書いておきます。

このようにblacklistd(8)とpf(4)を使うと自動的にアクセスをブロックするといった設定を実現できます。blacklistd(8)の使い方に関して下記勉強会で詳しい内容を取り上げます。ご興味ある方は勉強会の参加を検討してみてください。

勉強会

10月4日(水)19:00~ 第66回 FreeBSD勉強会~vBSD 2017とEuroBSDCon 2017から旬な技術をご報告! - ヴァル研究所 セミナールーム

9月に米国バージニア州で開催されるvBSDcon 2017とフランスで開催されるEuroBSDCon 2017から,最新の*BSDトピックを面白いところにしぼってお伝えします。カンファレンスへの渡航費用と参加費用を見ると,日本でこの情報を得られるのはとってもお得です。みなさまのお越しをお待ちしております。

本勉強会への参加者には抽選か勝ち抜きかデーモンTシャツなどのグッズをお渡しします。ふるってご参加ください。

参加登録はこちらから。

10月26日(木)19:00~第67回 FreeBSD勉強会~blacklistd(8)でsshd DoS攻撃を防止する方法 基礎から応用まで - ドワンゴ セミナールーム

FreeBSD 11.0-RELEASEにはblacklistd(8)と呼ばれるデーモンが取り込まれました。これはNetBSDのblacklistd(8)をマージしたもので,設定に従ってサーバに対するDoS攻撃とみられるアクセスに対し,自動的にアクセスを閉じるといった処理をしてくれます。

FreeBSD 11.1-RELEASEからはシステムのsshd(8)がblacklistd(8)に対応するようになりました。ログインに何回か失敗したら何時間の間アクセスをブロックするといった設定を行うことができます。ホワイトリスト的な設定も追加することでき,全体としてのブロック設定をおこないつつ,特定のホストからのアクセスは許可したり,特定のホストからのアクセスは規制を緩くしておくといったことも可能です。

blacklistd(8)と類似した機能を提供するソフトウェアにはsshguard,fail2ban,denyhostsなどがあります。これらソフトウェアと比較したblasklistd(8)の特徴は処理の軽快さにあります。また,ipfw,pf,ipfilterというFreeBSDが提供しているすべてのファイアウォール機能に対応しているほか,もちろんNetBSD npfに対応しています。

blacklistd(8)はライブラリとしてlibblacklistを提供しているため,sshdに限らずほかのさまざまなソフトウェアからも利用できる汎用的な機能です。いくらかのコードの書き換えでblacklistd(8)を利用できるようにすることができます。

今回の勉強会ではblacklistd(8)がどのように動作しているのか紹介するとともに,設定方法などの基本的な方法から,既存のソフトウェアをblacklistd(8)に対応させる場合にどのように開発を行えばよいかなどを紹介します。

参加登録はこちらから。

FreeBSD勉強会 発表者募集

FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合,@daichigotoまでメッセージをお願いします。30分~1時間ほどの発表資料を作成していただき発表をお願いできればと思います。

コメント

コメントの記入