[Postfixbuch-users] OT: Firewallalternativen
Helmut Hullen
Hullen at t-online.de
Sa Jun 22 11:40:00 CEST 2013
Hallo, Hajo,
Du meintest am 18.06.13:
> mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables
> oder andere Software?
Ja - ist hier eher off topic ...
> Wir kucken per fail2ban und anderen Methoden verschiedenste Logs
> durch und sperren IPs temporär wenn zu viele Fehllogins oder andere
> Hackversuche festgestellt wurden.
> Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht
> mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden,
> dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht
> mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr
> iptables einfach effizienter?
Zu dem Problembereich findest Du ganz aktuell in "Linux-user" 07/13
einen längeren Artikel:
"Türsteher", Seite 26-31
-------------------
Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von
Script-Kiddies kommen, einen Abschnitt in der "iptables"-Konfiguration:
# ----------------- Skript-Teil ein -------------------
WAN=ppp+ eth1
IPTABLES_BIN=/usr/sbin/iptables
# diese beiden Variablen sind anzupassen
for Interf in $WAN; do
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --set --name SSH
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
-j REJECT --reject-with tcp-reset
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-j ACCEPT
done
# Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
# pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
# "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
# de.comp.os.unix.networking.misc
# siehe auch
# http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/3
# ----------------- Skript-Teil aus -------------------
Kappt die Verbindung, wenn mehr als 4 Versuche binnen 60 Sekunden
auflaufen.
Und lässt sich auch für andere Ports als nur 22 einstellen.
Ok - das hakt (natürlich), wenn ein gewollter Automat derart hektisch anklopft.
Und es hakt auch bei langsamen Kiddy-Skripts (die ich in den letzten 12
Monaten zweimal erlebt; etwa alle 30 Sekunden ein neuer Versuch). Aber
da komme ich in die Gegend von tüdeligen erlaubten Benutzern, die sich
immer wieder vertippen.
Abhilfe: weitere Regel
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH \
-j REJECT --reject-with tcp-reset
Am Rande: Abbruch nach 3 oder 4 Misserfolgen ist auch an anderen Stellen
eingestellt; da mault niemand.
Und bei SSH habe ich zusätzlich in "/etc/ssh/sshd_config"
PermitRootLogin without-password
eingestellt; da muss das Kiddy-Skript 2 Passwörter erraten oder sonstwie
erschnüffelt haben, um "root"-Rechte zu bekommen.
-------------------------------------------------------
Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa 3
bsi 4 abgewimmelte Versuche.
Viele Gruesse!
Helmut
Mehr Informationen über die Mailingliste Postfixbuch-users