blacklistd(8)でftpd DoS攻撃を防止する方法 ipfw編

前回までFreeBSD 11.0-RELEASEにNetBSDからマージされたblacklistd(8)の使い方を紹介してきました。blacklistd(8)を使うと設定に基づいて規定の回数ログインに失敗した接続を自動的にブロックするといったことを実現できます。DoS攻撃やブルートフォース攻撃に対する緩和機能として利用できます。

最初はsshd(8)とファイアウォールにipfw(4)を使う方法を紹介しました。前々回はpf(4)を使う場合、そして前回はipf(4)を使う方法を紹介しました。この3回はsshd(8)に対してblacklistd(8)を使う方法を取り上げましたが、今回はftpd(8)に対して利用する方法を紹介します。組み合わせるファイアウォールにはFreeBSDネイティブのipfw(4)を使います。

まず、/etc/rc.confファイルに次のような設定を追加します。FreeBSDのユーザランドにマージされているftpd(8) (/usr/libexec/ftpd)はinetd(8)から起動するように設定されているので、inetd(8)を起動する設定を追加してあります。

# inetd
inetd_enable="YES"

# blacklistd
blacklistd_enable="YES"
blacklistd_flags="-f"
#blacklistd_flags="-r"

# firewall - ipfw
firewall_enable="YES"
firewall_type="OPEN"

inetd(8)からftpd(8)を起動するように、/etc/inetd.confに次の設定を追加します。これでftpdポートにアクセスがあった場合に/usr/libexec/ftpdが起動するようになります。

ftp     stream  tcp     nowait  root    /usr/libexec/ftpd       ftpd -l -B

ftpd(8)のオプションに-Bが追加してある点に注目してください。これが新しく追加されたオプションで、このオプションを指定しておくとログインなどに失敗した場合にblacklistd(8)に報告があがるようになります。これを指定しないとblacklistd(8)には報告があがりませんので注意してください。ちなみに、-lはsyslogを使ってログを記録するための指定です。-lでsyslogd(8)へ、-Bでblacklistd(8)へデータを送っていることになります。blacklistd(8)は仕組みとしてはsyslogd(8)に近いですので、このオプションの指定は興味深いところです。

blacklistd(8)がipfw(4)を使うように/etc/ipfw-blacklist.rcファイルを作成します。すでにipfw(4)を使っている場合には都合がよいように設定をマージして使ってください。

# touch /etc/ipfw-blacklist.rc

この状態でシステムを再起動すると、次のようにinetd(8)が起動していることを確認できます。

# ps auxww | grep inetd
root    687   0.0  0.2  14708  2356  -  Is   20:29   0:00.00 /usr/sbin/inetd -wW -C 60
#

ipfw(4)が有効になっているので、たとえば次のようなフィルタリングルールが動作していることを確認できます。

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65535 deny ip from any to any
#

blacklistd(8)も次のように動作していることを確認できます。

# ps auxww | grep blacklistd
root    705   0.0  0.3  14772  2576  -  Ss   20:29   0:00.01 /usr/sbin/blacklistd -f
#

blacklistd(8)の保持しているルールはblacklistclt(8)コマンドで次のように確認できます。システムを再起動した段階では次のようになんのルールも入っているはずです。

# blacklistctl dump -a
        address/ma:port	id	nfail	last access
#

blacklistd(8)の設定は/etc/blacklistd.confです。このファイルはデフォルトでは次のようになっています。この場合、ftpにおける認証が3回失敗すると以後24時間はアクセスできない状態になります。

# $FreeBSD: releng/11.1/etc/blacklistd.conf 301226 2016-06-02 19:06:04Z lidl $
#
# Blacklist rule
# adr/mask:port	type	proto	owner		name	nfail	disable
[local]
ssh		stream	*	*		*	3	24h
ftp		stream	*	*		*	3	24h
smtp		stream	*	*		*	3	24h
submission	stream	*	*		*	3	24h
#6161		stream	tcp6	christos	*	2	10m
*		*	*	*		*	3	60

# adr/mask:port	type	proto	owner		name	nfail	disable
[remote]
#129.168.0.0/16	*	*	*		=	*	*
#6161		=	=	=		=/24	=	=
#*		stream	tcp	*		=	=	=

ほかのホストからftpでログインを試み、3回失敗してみます。すると次のように、サーバへの接続がブロックされるようになります。

% ftp [email protected]	← 3回目のトライ
Connected to 192.168.185.50.
220 virt.ongs.co.jp FTP server (Version 6.00LS) ready.
331 Password required for daichi.
Password:
530 Login incorrect.
ftp: Login failed
ftp> quit			← 反応がなくなる

この状態でipfw(4)のルールをチェックすると、21番ポートへのアクセスがブロックされたことを確認できます。

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
02021 deny tcp from table(port21) to any dst-port 21 ← 追加されたルール
65000 allow ip from any to any
65535 deny ip from any to any
#

blacklistctl(8)コマンドでブロック情報を確認すると、次のようにルールが追加されたことを確認できます。

# blacklistctl dump -a
        address/ma:port	id	nfail	last access
  192.168.185.1/32:21	OK	3/3	2017/09/20 20:39:03
#

blacklistd(8)はデフォルトの設定だと/var/db/blacklistd.dbに接続エントリ情報を保持していますので、再起動してもこのデータは保持されたままです。再起動後にこの保持しているデータに従ってもう一度ブロックルールを適用するか、またはルールをすべてクリアするかをblacklistd(8)のオプションで指定できます。-fならルールをクリア、-rならルールをベースにブロックルールを再適用します。最初に示した/etc/rc.confにこのオプションを書いておきます。

このようにblacklistd(8)とipfw(4)を使うと自動的にFTPアクセスをブロックするといった設定を実現できます。今回はipfw(4)を取り上げましたけれども、これまでに紹介したのと同じ方法でpf(4)でもipf(4)でも利用することができます。お使いのファイアウォール機能を使えるところがblacklistd(8)の魅力のひとつです。

このあたりも含めてblacklistd(8)の使い方に関して下記勉強会で詳しい内容を取り上げます。ご興味ある方は勉強会の参加を検討してみてください。なかなか面白い仕組みになっています。

勉強会

10月4日（水）19:00～　第66回 FreeBSD勉強会～vBSD 2017とEuroBSDCon 2017から旬な技術をご報告！ - ヴァル研究所 セミナールーム

vBSD 2017とEuroBSDCon 2017から旬な技術をご報告！ - ヴァル研究所 セミナールーム

9月に米国バージニア州で開催されるvBSDcon 2017とフランスで開催されるEuroBSDCon 2017から、最新の*BSDトピックを面白いところにしぼってお伝えします。カンファレンスへの渡航費用と参加費用を見ると、日本でこの情報を得られるのはとってもお得です。皆さまのお越しをお待ちしております。

本勉強会への参加者には抽選か勝ち抜きかデーモンTシャツなどのグッズをお渡しします。振るって具参加ください。

10月26日（木）19:00～第67回 FreeBSD勉強会～blacklistd(8)でsshd DoS攻撃を防止する方法 基礎から応用まで - ドワンゴ セミナールーム

FreeBSD 11.0-RELEASEにはblacklistd(8)と呼ばれるデーモンが取り込まれました。これはNetBSDのblacklistd(8)をマージしたもので、設定に従ってサーバに対するDoS攻撃とみられるアクセスに対し、自動的にアクセスを閉じるといった処理をしてくれます。

FreeBSD 11.1-RELEASEからはシステムのsshd(8)がblacklistd(8)に対応するようになりました。ログインに何回か失敗したら何時間の間アクセスをブロックするといった設定を行うことができます。ホワイトリスト的な設定も追加することでき、全体としてのブロック設定をおこないつつ、特定のホストからのアクセスは許可したり、特定のホストからのアクセスは規制を緩くしておくといったことも可能です。

blacklistd(8)と類似した機能を提供するソフトウェアにはsshguard、fail2ban、denyhostsなどがあります。これらソフトウェアと比較したblasklistd(8)の特徴は処理の軽快さにあります。また、ipfw、pf、ipfilterというFreeBSDが提供しているすべてのファイアウォール機能に対応しているほか、もちろんNetBSD npfに対応しています。

blacklistd(8)はライブラリとしてlibblacklistを提供しているため、sshdに限らずほかのさまざまなソフトウェアからも利用できる汎用的な機能です。いくらかのコードの書き換えでblacklistd(8)を利用できるようにすることができます。

今回の勉強会ではblacklistd(8)がどのように動作しているのか紹介するとともに、設定方法などの基本的な方法から、既存のソフトウェアをblacklistd(8)に対応させる場合にどのように開発を行えばよいかなどを紹介します。

参加登録はこちらから。

FreeBSD勉強会 発表者募集