blacklistd(8)でsshd DoS攻撃を防止する方法 ipf編

前回までFreeBSD 11.0-RELEASEにNetBSDからマージされたblacklistd(8)の使い方を紹介してきました。blacklistd(8)を使うと設定に基づいて規定の回数ログインに失敗した接続を自動的にブロックするといったことを実現できます。DoS攻撃やブルートフォース攻撃に対する緩和機能として利用できます。

最初はファイアウォールにipfw(4)を使う方法を紹介しました。前回はpf(4)を使う場合，そして今回はファイアウォールにipf(4)を使う方法を紹介します。ipf(4)はUNIX系オペレーティングシステムで利用できるファイアウォールで，現在だとFreeBSDとNetBSDが代表的なサポートOSということになるでしょうか。ipf(4)はFreeBSDネイティブなファイアウォール機能ではありませんし，pf(4)ほどの人気もないように見えます。しかし現在でもサポートが継続しています（ちゃんとメンテナンスするコミッタがつけばサポートは続きます⁠）⁠。

FreeBSDでこれから新しくファイアウォール機能を使う場合には，FreeBSDネイティブで性能が期待できるipfw(4)か，OpenBSD由来でなにかと便利なpf(4)かどちらかを選ぶというのが現在では主な選択肢ではないかと思います。ipf(4)はこれまで使ってきたipf(4)のルールがあるため継続して利用したいといった場合に使うことが多いのではないかと思います。

まず，/etc/rc.confファイルに次のような設定を追加します。

# sshd
sshd_enable="YES"
sshd_flags="-o UseBlacklist=yes"

# blacklistd
blacklistd_enable="YES"
blacklistd_flags="-f"
#blacklistd_flags="-r"

# firewall - ipf
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.conf"

sshdはデフォルトの設定ではblacklistd(8)に対応していませんので，「⁠sshd_flags="-o UseBlacklist=yes"」のようにフラグを追加して機能を有効にします。blacklistd(8)を起動するために「blacklistd_enable="YES"」を追加し，さらにファイアウォール機能pf(4)を有効にするために「pf_enable="YES"」を追加します。

blacklistd(8)がipf(4)を使うように/etc/ipf.confファイルを作成します。すでにipf(4)を使っていて/etc/ipf.rulesファイルがある場合には，/etc/ipf.confにマージするか，/etc/rc.confで指定するファイル名を変更してください。

$ touch /etc/ipf.conf

この状態でシステムを再起動すると，次のようにsshd(8)がblacklistd(8)を利用可能な状態で起動してきます。

$ ps auxww | grep sshd
root    650   0.0  0.7  57812  6940  -  Is   14:14   0:00.00 /usr/sbin/sshd -o UseBlacklist=yes
$

ipf(4)が有効になっているので，たとえば次のようなフィルタリングルールが動作していることを確認できます。

$ ipfstat -io
# empty list for ipfilter(out)
# empty list for ipfilter(in)
$

blacklistd(8)も次のように動作していることを確認できます。

$ ps auxww | grep blacklistd
root    703   0.0  0.3  14772  2576  -  Ss   14:14   0:00.01 /usr/sbin/blacklistd -f
$

blacklistd(8)の保持しているルールはblacklistclt(8)コマンドで次のように確認できます。システムを再起動した段階では次のようになんのルールも入っているはずです。

$ blacklistctl dump -a
        address/ma:port	id	nfail	last access
$

blacklistd(8)の設定は/etc/blacklistd.confです。このファイルはデフォルトでは次のようになっています。この場合，sshにおける認証が3回失敗すると以後24時間はアクセスできない状態になります。

# $FreeBSD: releng/11.1/etc/blacklistd.conf 301226 2016-06-02 19:06:04Z lidl $
#
# Blacklist rule
# adr/mask:port	type	proto	owner		name	nfail	disable
[local]
ssh		stream	*	*		*	3	24h
ftp		stream	*	*		*	3	24h
smtp		stream	*	*		*	3	24h
submission	stream	*	*		*	3	24h
#6161		stream	tcp6	christos	*	2	10m
*		*	*	*		*	3	60

# adr/mask:port	type	proto	owner		name	nfail	disable
[remote]
#129.168.0.0/16	*	*	*		=	*	*
#6161		=	=	=		=/24	=	=
#*		stream	tcp	*		=	=	=

ほかのホストからsshでログインを試み，3回失敗してみます。すると次のように，4回目はそもそもサーバへの接続がブロックされるようになります。

% ssh 192.168.185.50
Password for daichi@virt.ongs.co.jp:
Password for daichi@virt.ongs.co.jp:
Password for daichi@virt.ongs.co.jp:    ← 3回目の失敗
Permission denied (publickey,keyboard-interactive).
% ssh 192.168.185.50                    ↓ 接続できずにタイムアウト
ssh: connect to host 192.168.185.50 port 22: Operation timed out
%

この状態でipf(4)のルールをチェックすると，22番ポートへのアクセスがブロックされたことを確認できます。

$ ipfstat -io
# empty list for ipfilter(out)		↓新しく追加されたルール
block in quick inet proto tcp from 192.168.185.1/32 to any port = ssh head port22
$

blacklistctl(8)コマンドでブロック情報を確認すると，次のようにルールが追加されたことを確認できます。

$ blacklistctl dump -a
        address/ma:port id      nfail   last access
  192.168.185.1/32:22   OK      3/3     2017/09/11 18:49:29
$

blacklistd(8)はデフォルトの設定だと/var/db/blacklistd.dbに接続エントリ情報を保持していますので，再起動してもこのデータは保持されたままです。再起動後にこの保持しているデータに従ってもう一度ブロックルールを適用するか，またはルールをすべてクリアするかをblacklistd(8)のオプションで指定できます。-fならルールをクリア，-rならルールをベースにブロックルールを再適用します。最初に示した/etc/rc.confにこのオプションを書いておきます。

このようにblacklistd(8)とipf(4)を使うと自動的にアクセスをブロックするといった設定を実現できます。これまで取り上げてきたように，FreeBSDだとblacklistd(8)はipfw(4)，pf(4)，ipf(4)という3つのファイアウォールに対応しています。NetBSDだとnpf(4)に対応していますので，4つのファイアウォール機能に対応していることになります。

複数のファイアウォール機能に対応しつつも移植が容易なのはblacklistd-helper(8)がシェルスクリプトになっていて，ここでコマンド間またはファイアウォール間の差異を埋めているからなのですが，なかなかよくできた構成だと思います。このあたりも含めてblacklistd(8)の使い方に関して下記勉強会で詳しい内容を取り上げます。ご興味ある方は勉強会の参加を検討してみてください。

勉強会

10月4日（水）19:00～　第66回 FreeBSD勉強会～vBSD 2017とEuroBSDCon 2017から旬な技術をご報告！ - ヴァル研究所 セミナールーム

9月に米国バージニア州で開催されるvBSDcon 2017とフランスで開催されるEuroBSDCon 2017から，最新の*BSDトピックを面白いところにしぼってお伝えします。カンファレンスへの渡航費用と参加費用を見ると，日本でこの情報を得られるのはとってもお得です。皆さまのお越しをお待ちしております。

本勉強会への参加者には抽選か勝ち抜きかデーモンTシャツなどのグッズをお渡しします。ふるってご参加ください。

参加登録はこちらから。

10月26日（木）19:00～第67回 FreeBSD勉強会～blacklistd(8)でsshd DoS攻撃を防止する方法 基礎から応用まで - ドワンゴ セミナールーム

FreeBSD 11.0-RELEASEにはblacklistd(8)と呼ばれるデーモンが取り込まれました。これはNetBSDのblacklistd(8)をマージしたもので，設定に従ってサーバに対するDoS攻撃とみられるアクセスに対し，自動的にアクセスを閉じるといった処理をしてくれます。

FreeBSD 11.1-RELEASEからはシステムのsshd(8)がblacklistd(8)に対応するようになりました。ログインに何回か失敗したら何時間の間アクセスをブロックするといった設定を行うことができます。ホワイトリスト的な設定も追加することでき，全体としてのブロック設定をおこないつつ，特定のホストからのアクセスは許可したり，特定のホストからのアクセスは規制を緩くしておくといったことも可能です。

blacklistd(8)と類似した機能を提供するソフトウェアにはsshguard，fail2ban，denyhostsなどがあります。これらソフトウェアと比較したblasklistd(8)の特徴は処理の軽快さにあります。また，ipfw，pf，ipfilterというFreeBSDが提供しているすべてのファイアウォール機能に対応しているほか，もちろんNetBSD npfに対応しています。

blacklistd(8)はライブラリとしてlibblacklistを提供しているため，sshdに限らずほかのさまざまなソフトウェアからも利用できる汎用的な機能です。いくらかのコードの書き換えでblacklistd(8)を利用できるようにすることができます。

今回の勉強会ではblacklistd(8)がどのように動作しているのか紹介するとともに，設定方法などの基本的な方法から，既存のソフトウェアをblacklistd(8)に対応させる場合にどのように開発を行えばよいかなどを紹介します。

参加登録はこちらから。

FreeBSD勉強会 発表者募集

FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合，@daichigotoまでメッセージをお願いします。30分～1時間ほどの発表資料を作成していただき発表をお願いできればと思います。