RedisSentry: защищаем python web-сервер от подбора пароля на примере django

Февраль 19, 2021

Главная
Разное
RedisSentry: защищаем python web-сервер от подбора пароля на примере django

Содержание

2. ~7000 шт/час 1 IP, 1 процесс
3. Способы борьбы с перебором пароля Captcha, (Сompletely Automated Public Turing test to tell Computers and Humans
4. Модули защиты от перебора пароля: взлом твиттера Социальная сеть
5. Модули защиты от перебора пароля: способы интеграции
6. Особенности реализации • /django-axes/ успешный вход сбрасывает счетчик: - 4*admin, 1*hacker, 4*admin, …
7. Уязвимости реализации (устранимые) сброс счетчика
8. Особенности реализации • /main db/ скорость обработки отказа в аутентификации => DDOS • /django-axes/ успешный вход
9. main db main db main db main db main db main db Уязвимости реализации (устранимые) …
10. Особенности реализации • /main db/ скорость обработки отказа в аутентификации => DDOS • /django-axes/ успешный вход
11. username IP & username IP либо IP+username username IP & username IP либо IP+username Уязвимости реализации
12. 1-to-1 1-to-m m-to-1 Архитектура модуля proxy, NAT =>блок. целая подсеть IP-address
13. Архитектура модуля • IP-address: 1.2.3.4 joe@me.ru
14. Уязвимости архитектуры (неустранимые)
15. Цель работы Создание надежного модуля защиты от брутфорса, который можно было бы использовать в production. Подобрать
16. Блок-схема auth error
17. Блок-схема auth error ip ∈ blacklist ? ok no yes c++
18. Блок-схема auth username ∈ blacklistB ? ok no yes ip ∈ blacklistA ? no yes error
19. Блок-схема auth error ok no yes cA++ ip ∈ blacklistA ? no yes cB++ ip, username
20. Блок-схема auth error username ∈ blacklistB ? ok no yes cA++ ip ∈ blacklistA ? no
21. Диаграмма состояний - 1 5 failed attempts 10 min block 5 failed attempts 30 min block
22. Диаграмма состояний - 2 5 failed attempts 10 min block 5 failed attempts 30 min block
23. Диаграмма состояний - 3 (RedisSentryPlus) 5 failed attempts 10 min block 5 failed attempts 30 min
24. Счетчик whitelist’а • IP: 193.124.10.53 Username: somebody@somewhere.com 15 bytes ~50 bytes 4*uchar 4 bytes /24 3
25. Hash-функции • 4 bytes hash-functions: - additive/xor/rot - elf/snx/djb - fnv/one-at-a-time - superfasthash/lookup3 - murmur3 -
26. Счетчики development production Ac:ip Ab:ip Bc:username Bb:username Wc:ip:username Wb:ip:username a.... A.... b.... B.... c....... C....... ip
27. Админка
28. Выбор инструментария • почему redis, а не couchdb? − expire • почему redis, а не mongodb?
29. Техническая информация • Лицензия: MIT • Исходный код: - https://github.com/axil/redissentry-core - https://github.com/axil/django-redissentry • Тестовая инсталляция: -
30. Установка и интеграция • flask: • django: MIDDLEWARE_CLASSES += 'redissentry.middleware.RequestMiddleware', INSTALLED_APPS += 'redissentry', def protected_auth(username, password):
31. Заключение • защита от атак: 1 IP-1 account; 1 IP-many accounts; many IP-1 account • «гуманность»
32. Спасибо за внимание! Максимов Лев Викторович RedisSentry: защищаем python web-сервер от подбора пароля на примере django
33. 1-to-1 1-to-m m-to-1 Архитектура модуля proxy, NAT =>блок. целая подсеть IP-address
35. Скачать презентацию

~7000 шт/час
1 IP, 1 процесс

Способы борьбы с перебором пароля
Captcha, (Сompletely Automated Public Turing test to tell

Computers and Humans Apart)
+ отпугивает не особо заинтересованных атакующих
− отпугивает и обычних пользователей тоже
+ скрипт из пары строчек уже не сработает
− есть специализированные программы-распознаватели и люди-распознаватели
Throttling, задержка ответа сервера
+ несколько снижает эффективность атаки
− может раздражать пользователя
− сложности реализации на синхронном сервере
Блокировки, не допускает к аутентификации в течение некоторого времени
+ практически неощутимо для пользователя
+ более эффективно сдерживает атаки

Слайд 4

Модули защиты от перебора пароля:
взлом твиттера
Социальная сеть

Слайд 5

Модули защиты от перебора пароля: способы интеграции

Слайд 6

Особенности реализации
• /django-axes/ успешный вход сбрасывает счетчик:
- 4admin, 1hacker, 4*admin, …

Слайд 7

Уязвимости реализации (устранимые)
сброс счетчика

Слайд 8

Особенности реализации
• /main db/ скорость обработки отказа в аутентификации => DDOS
• /django-axes/

успешный вход сбрасывает счетчик:
- 4*admin, 1*hacker, 4*admin, …

Слайд 9

main db
main db
main db
main db
main db
main db
Уязвимости реализации (устранимые)
…
IP
username
IP
IP & username
IP либо

IP+username

global либо IP

счетчики

memcached

ratelimitcache

main db

django snippet #1083

redis

memcached

storage

django-axes

django-redissentry

django-lockout

django-failedloginblocker

django-brutebuster

DDOS

сброс счетчика

main db

DDOS

Слайд 10

Особенности реализации
• /main db/ скорость обработки отказа в аутентификации => DDOS
• /django-axes/

успешный вход сбрасывает счетчик:
- 4*admin, 1*hacker, 4*admin, …

• /username/ возможность неограниченного переполнения БД

Слайд 11

username
IP & username
IP либо IP+username
username
IP & username
IP либо IP+username
Уязвимости реализации (устранимые)
…
IP
IP
global либо

счетчики

memcached

ratelimitcache

main db

django snippet #1083

redis

memcached

main db

storage

django-axes

django-redissentry

django-lockout

django-failedloginblocker

django-brutebuster

DDOS

overflow

подмена
заголовков

сброс счетчика

DDOS

Слайд 12

1-to-1 1-to-m m-to-1
Архитектура модуля
proxy, NAT =>блок. целая подсеть
IP-address

Слайд 13

Архитектура модуля
• IP-address:
1.2.3.4
joe@me.ru

Слайд 14

Уязвимости архитектуры (неустранимые)

Слайд 15

Цель работы
Создание надежного модуля защиты от брутфорса, который можно было бы

использовать в production.

Подобрать набор фильтров, который бы одновременно:
− позволял защищать сервер от всех перечисленных видов атак
− не блокировал лишний раз пользователя только по той причине,
что из-под его IP была атака и/или на его эккаунт была атака
− не допускал возможности переполнения базы данных счетчиков.

Слайд 16

Блок-схема
auth
error

Слайд 17

Блок-схема
auth
error
ip ∈ blacklist ?
ok
no
yes
c++

Слайд 18

Блок-схема
auth
username ∈ blacklistB ?
ok
no
yes
ip ∈ blacklistA ?
no
yes
error
cA++
cB++

Слайд 19

Блок-схема
auth
error
ok
no
yes
cA++
ip ∈ blacklistA ?
no
yes
cB++
ip, username ∈ whitelist ?
no
yes
add to
whitelist
username ∈ blacklistB

Слайд 20

Блок-схема
auth
error
username ∈ blacklistB ?
ok
no
yes
cA++
ip ∈ blacklistA ?
no
yes
cB++
ip ∈ whitelist ?
no
yes
ip,username ∈ blacklistW

yes

auth

error

cW++

add to
whitelist

Слайд 21

Диаграмма состояний - 1
5 failed attempts
10 min block
5 failed attempts
30 min block
5

failed attempts

1 hour block

5 failed attempts

5 min block

5 failed attempts

23 hours block

5 failed attempts

23 hours block

. . .

Слайд 22

Диаграмма состояний - 2
5 failed attempts
10 min block
5 failed attempts
30 min block
5

failed attempts

1 hour block

5 failed attempts

5 min block

5 failed attempts

23 hours block

5 failed attempts

23 hours block

. . .

9 blocked attempts

1 hour block

9 blocked attempts

1 hour block

. . .

из исходного состояния

из заблокированного состояния

Слайд 23

Диаграмма состояний - 3 (RedisSentryPlus)
5 failed attempts
10 min block
5 failed attempts
30 min

block

5 failed attempts

1 hour block

5 failed attempts

5 min block

5 failed attempts

9 blocked attempts

3..23 hours block

9 blocked attempts

1 hour block

из исходного состояния

из «явно» заблокированного состояния

из «неявно» заблокированного состояния

3 blocked attempts

3..23 hours block

3 blocked attempts

3..23 hours block

Слайд 24

Счетчик whitelist’а
• IP: 193.124.10.53 Username: somebody@somewhere.com
15 bytes ~50 bytes
4*uchar 4 bytes

/24 3 bytes

user_id ~8 bytes

hash(username):

md5(username) 16 bytes

232 = 4*109

7*109 (1 Nov 2011)

? 4 bytes

log26 232=6.8

Слайд 25

Hash-функции
• 4 bytes hash-functions:
- additive/xor/rot
- elf/snx/djb
- fnv/one-at-a-time
- superfasthash/lookup3

- murmur3
- md5[:4]

300k
313k/316k/173
2166/57/13
15/9
18/10
5
9

100k
98k/100k/35
364/5/0
1/9
18/10
0
1

Слайд 26

Счетчики
development
production
Ac:ip
Ab:ip
Bc:username
Bb:username
Wc:ip:username
Wb:ip:username
a....
A....
b....
B....
c....... C.......
ip
hash(username)
ip
hash(username)
18
18
53
53
68
68
5
5
5
5
8
8
bytes
bytes

Слайд 27

Админка

Слайд 28

Выбор инструментария
• почему redis, а не couchdb?
− expire
• почему redis, а

не mongodb?
− expire
− лучшая устойчивость к перезагрузкам

• почему redis, а не memcached?
− удобные структуры данных
− лучший контроль используемой памяти
− масштабирование (шардинг)

• почему nosql а не sql?
− в основном доступ key-value
− скорость

Слайд 29

Техническая информация
• Лицензия: MIT
• Исходный код:
- https://github.com/axil/redissentry-core
- https://github.com/axil/django-redissentry
• Тестовая

инсталляция:
- http://redissentry.alwaysdata.net

Слайд 30

Установка и интеграция
• flask:
• django:
MIDDLEWARE_CLASSES += 'redissentry.middleware.RequestMiddleware',
INSTALLED_APPS += 'redissentry',
def protected_auth(username,

password):
sentry = RedisSentry(ip, username)
msg = sentry.ask()
if msg != ‘’:
raise Exception(msg)
result = auth(username, password)
msg = sentry.inform(bool(result))
if msg != ‘’:
raise Exception(msg)
return result

pip install django-redissentry

Слайд 31

Заключение
• защита от атак: 1 IP-1 account; 1 IP-many accounts; many IP-1

account
• «гуманность» блокировки за счёт whitelist’а
• невозможность произвольного переполнения базы данных счетчиков
• крайне высокая скорость отказа в допуске к авторизации
• кумулятивное нарастание времени блокировки
• мелкие know-how:
- простейший скрипт с фикс. временем задержки блокируется на всё время его работы;
- эффективное время блокировки для атакующего больше, чем для обычного пользователя;
- обработка попыток авторизоваться из заблокированного состояния;

Слайд 32

Спасибо за внимание!
Максимов Лев Викторович
RedisSentry: защищаем python web-сервер от подбора пароля на

примере django

RedisSentry: защищаем python web-сервер от подбора пароля на примере django

Содержание

~7000 шт/час1 IP, 1 процесс

Способы борьбы с перебором пароляCaptcha, (Сompletely Automated Public Turing test to tell

Модули защиты от перебора пароля:взлом твиттераСоциальная сеть

Модули защиты от перебора пароля: способы интеграции

Особенности реализации• /django-axes/ успешный вход сбрасывает счетчик: - 4*admin, 1*hacker, 4*admin, …

Уязвимости реализации (устранимые)сброс счетчика

Особенности реализации• /main db/ скорость обработки отказа в аутентификации => DDOS• /django-axes/

main dbmain dbmain dbmain dbmain dbmain dbУязвимости реализации (устранимые)…IPusernameIPIP & usernameIP либо

Особенности реализации• /main db/ скорость обработки отказа в аутентификации => DDOS• /django-axes/

usernameIP & usernameIP либо IP+usernameusernameIP & usernameIP либо IP+usernameУязвимости реализации (устранимые)…IPIPglobal либо

1-to-1 1-to-m m-to-1Архитектура модуля proxy, NAT =>блок. целая подсеть IP-address

Архитектура модуля • IP-address:1.2.3.4joe@me.ru

Уязвимости архитектуры (неустранимые)

Цель работы Создание надежного модуля защиты от брутфорса, который можно было бы

Блок-схемаautherror

Блок-схемаautherrorip ∈ blacklist ?oknoyesc++

Блок-схемаauthusername ∈ blacklistB ?oknoyesip ∈ blacklistA ?noyeserrorcA++cB++

Блок-схемаautherroroknoyescA++ip ∈ blacklistA ?noyescB++ip, username ∈ whitelist ?noyesadd to whitelistusername ∈ blacklistB

Блок-схемаautherrorusername ∈ blacklistB ?oknoyescA++ip ∈ blacklistA ?noyescB++ip ∈ whitelist ?noyesip,username ∈ blacklistW

Диаграмма состояний - 15 failed attempts10 min block5 failed attempts30 min block5

Диаграмма состояний - 25 failed attempts10 min block5 failed attempts30 min block5

Диаграмма состояний - 3 (RedisSentryPlus)5 failed attempts10 min block5 failed attempts30 min

Счетчик whitelist’а• IP: 193.124.10.53 Username: somebody@somewhere.com15 bytes ~50 bytes 4*uchar 4 bytes

Hash-функции• 4 bytes hash-functions: - additive/xor/rot - elf/snx/djb - fnv/one-at-a-time - superfasthash/lookup3

СчетчикиdevelopmentproductionAc:ipAb:ipBc:usernameBb:usernameWc:ip:usernameWb:ip:usernamea....A....b....B....c....... C.......iphash(username)iphash(username)181853536868555588bytesbytes

Админка

Выбор инструментария• почему redis, а не couchdb? − expire• почему redis, а

Техническая информация• Лицензия: MIT• Исходный код: - https://github.com/axil/redissentry-core - https://github.com/axil/django-redissentry• Тестовая

Установка и интеграция• flask:• django: MIDDLEWARE_CLASSES += 'redissentry.middleware.RequestMiddleware', INSTALLED_APPS += 'redissentry',def protected_auth(username,

Заключение• защита от атак: 1 IP-1 account; 1 IP-many accounts; many IP-1

Спасибо за внимание!Максимов Лев ВикторовичRedisSentry: защищаем python web-сервер от подбора пароля на

1-to-1 1-to-m m-to-1Архитектура модуля proxy, NAT =>блок. целая подсеть IP-address

Похожие презентации

~7000 шт/час
1 IP, 1 процесс

Способы борьбы с перебором пароля
Captcha, (Сompletely Automated Public Turing test to tell

Модули защиты от перебора пароля:
взлом твиттера
Социальная сеть

Особенности реализации
• /django-axes/ успешный вход сбрасывает счетчик:
- 4admin, 1hacker, 4*admin, …

Уязвимости реализации (устранимые)
сброс счетчика

Особенности реализации
• /main db/ скорость обработки отказа в аутентификации => DDOS
• /django-axes/

main db
main db
main db
main db
main db
main db
Уязвимости реализации (устранимые)
…
IP
username
IP
IP & username
IP либо

Особенности реализации
• /main db/ скорость обработки отказа в аутентификации => DDOS
• /django-axes/

username
IP & username
IP либо IP+username
username
IP & username
IP либо IP+username
Уязвимости реализации (устранимые)
…
IP
IP
global либо

1-to-1 1-to-m m-to-1
Архитектура модуля
proxy, NAT =>блок. целая подсеть
IP-address

Архитектура модуля
• IP-address:
1.2.3.4
joe@me.ru

Цель работы
Создание надежного модуля защиты от брутфорса, который можно было бы

Блок-схема
auth
error

Блок-схема
auth
error
ip ∈ blacklist ?
ok
no
yes
c++

Блок-схема
auth
username ∈ blacklistB ?
ok
no
yes
ip ∈ blacklistA ?
no
yes
error
cA++
cB++

Блок-схема
auth
error
ok
no
yes
cA++
ip ∈ blacklistA ?
no
yes
cB++
ip, username ∈ whitelist ?
no
yes
add to
whitelist
username ∈ blacklistB

Блок-схема
auth
error
username ∈ blacklistB ?
ok
no
yes
cA++
ip ∈ blacklistA ?
no
yes
cB++
ip ∈ whitelist ?
no
yes
ip,username ∈ blacklistW

Диаграмма состояний - 1
5 failed attempts
10 min block
5 failed attempts
30 min block
5

Диаграмма состояний - 2
5 failed attempts
10 min block
5 failed attempts
30 min block
5

Диаграмма состояний - 3 (RedisSentryPlus)
5 failed attempts
10 min block
5 failed attempts
30 min

Счетчик whitelist’а
• IP: 193.124.10.53 Username: somebody@somewhere.com
15 bytes ~50 bytes
4*uchar 4 bytes

Hash-функции
• 4 bytes hash-functions:
- additive/xor/rot
- elf/snx/djb
- fnv/one-at-a-time
- superfasthash/lookup3

Счетчики
development
production
Ac:ip
Ab:ip
Bc:username
Bb:username
Wc:ip:username
Wb:ip:username
a....
A....
b....
B....
c....... C.......
ip
hash(username)
ip
hash(username)
18
18
53
53
68
68
5
5
5
5
8
8
bytes
bytes

Выбор инструментария
• почему redis, а не couchdb?
− expire
• почему redis, а

Техническая информация
• Лицензия: MIT
• Исходный код:
- https://github.com/axil/redissentry-core
- https://github.com/axil/django-redissentry
• Тестовая

Установка и интеграция
• flask:
• django:
MIDDLEWARE_CLASSES += 'redissentry.middleware.RequestMiddleware',
INSTALLED_APPS += 'redissentry',
def protected_auth(username,

Заключение
• защита от атак: 1 IP-1 account; 1 IP-many accounts; many IP-1

Спасибо за внимание!
Максимов Лев Викторович
RedisSentry: защищаем python web-сервер от подбора пароля на

1-to-1 1-to-m m-to-1
Архитектура модуля
proxy, NAT =>блок. целая подсеть
IP-address