
<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <p><br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 01/05/2017 10:14 AM, Aline Manera

      wrote:<br>

    </div>

    <blockquote

      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"

      type="cite">

      <meta content="text/html; charset=windows-1252"

        http-equiv="Content-Type">

      Hi Ramon,<br>

      <br>

      <div class="moz-cite-prefix">On 12/22/2016 01:59 PM, Ramon

        Medeiros wrote:<br>

      </div>

      <blockquote

        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"

        type="cite">

        <meta http-equiv="content-type" content="text/html;

          charset=windows-1252">

        <p>Propose: make adjustments at login page to make difficult

          brute force attack.<br>

          <br>

          Today, an intruder can make login tries without any action

          from Wok.<br>

          <br>

          Possible measures:</p>

        <p>Record source port and ip. After 3 tries, block user for 30

          seconds and increase the time by each more try. Using source

          port and ip will avoid errors for connections from NAT

          networks.<br>

          <br>

          Example:<br>

          <br>

          1) ip 192.168.1.1 tries to login as root 3 times and fail<br>

        </p>

      </blockquote>

      <br>

      You will consider ip and port, right? So when ip and port tries to

      login as root 3 times and fail...<br>

      <br>

    </blockquote>

    yep<br>

    <blockquote

      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"

      type="cite">

      <blockquote

        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"

        type="cite">

        <p> 2) A timeout of 30 seconds will be set<br>

        </p>

      </blockquote>

      <br>

      Does that mean the user will not be allowed to perform a login

      action for 30 seconds?<br>

      <br>

    </blockquote>

    yep. based on ip and port<br>

    <blockquote

      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"

      type="cite">

      <blockquote

        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"

        type="cite">

        <p> 3) After that, for 5 minutes, each try will add 30 seconds +

          x times the trial (60 seconds, 90 seconds. ..)</p>

      </blockquote>

      <br>

      Not sure I got what you want here. After the 30 seconds block, the

      user will be able to try to login again.<br>

      How many attempts he/she can try to login again before get

      blocked?<br>

      <br>

      Will he/she get blocked for 5 minutes in the second round of

      attempts?<br>

      <br>

    </blockquote>

    <br>

    I was thinking about this:<br>

    <br>

    1st try -&gt; denied<br>

    2nd try -&gt; denied<br>

    3rd try -&gt; denied<br>

    <br>

    30s timeout<br>

    <br>

    After this 30s, other timeout will be added, letting user try just 1

    time. If the mismatch continues, more time will be added. Let me

    explain:<br>

    <br>

    5 minutes window: <br>

    <br>

    4th try -&gt; denied<br>

    <br>

    Then we will add a new timeout block, but greater (60s)<br>

    <br>

    After 60s timeout:<br>

    <br>

    5th try -&gt; denied<br>

    <br>

    New timeout 90s<br>

    <br>

    <br>

    So, after received a 30s timeout, the user will be 5 minutes

    sensible to the algorithm.  Let me know if it was clear<br>

    <br>

    <br>

    <blockquote

      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"

      type="cite"> <br>

      <br>

      <blockquote

        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"

        type="cite">

        <p>4) After 5 minutes of the last try, the counter will be

          reset.<br>

        </p>

        <pre class="moz-signature" cols="72">-- 


Ramon Nunes Medeiros

Kimchi Developer

Linux Technology Center Brazil

IBM Systems &amp; Technology Group

Phone : +55 19 2132 7878

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:ramonn@br.ibm.com">ramonn@br.ibm.com</a> </pre>

        <br>

        <fieldset class="mimeAttachmentHeader"></fieldset>

        <br>

        <pre wrap="">_______________________________________________

Kimchi-devel mailing list

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:Kimchi-devel@ovirt.org">Kimchi-devel@ovirt.org</a>

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://lists.ovirt.org/mailman/listinfo/kimchi-devel">http://lists.ovirt.org/mailman/listinfo/kimchi-devel</a>

</pre>

      </blockquote>

      <br>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 


Ramon Nunes Medeiros

Kimchi Developer

Linux Technology Center Brazil

IBM Systems &amp; Technology Group

Phone : +55 19 2132 7878

<a class="moz-txt-link-abbreviated" href="mailto:ramonn@br.ibm.com">ramonn@br.ibm.com</a> </pre>

  </body>

</html>