[Postfixbuch-users] OT: Firewallalternativen
Werner Detter
werner at aloah-from-hell.de
Sa Jun 22 15:50:36 CEST 2013
Am 22.06.13 11:40, schrieb Helmut Hullen:
> Hallo, Hajo,
>
> Du meintest am 18.06.13:
>
>> mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables
>> oder andere Software?
>
> Ja - ist hier eher off topic ...
>
>> Wir kucken per fail2ban und anderen Methoden verschiedenste Logs
>> durch und sperren IPs temporär wenn zu viele Fehllogins oder andere
>> Hackversuche festgestellt wurden.
>> Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht
>> mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden,
>> dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht
>> mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr
>> iptables einfach effizienter?
>
> Zu dem Problembereich findest Du ganz aktuell in "Linux-user" 07/13
> einen längeren Artikel:
>
> "Türsteher", Seite 26-31
>
> -------------------
>
> Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von
> Script-Kiddies kommen, einen Abschnitt in der "iptables"-Konfiguration:
>
>
> # ----------------- Skript-Teil ein -------------------
>
> WAN=ppp+ eth1
> IPTABLES_BIN=/usr/sbin/iptables
> # diese beiden Variablen sind anzupassen
>
> for Interf in $WAN; do
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> -m recent --set --name SSH
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
> -j REJECT --reject-with tcp-reset
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> -j ACCEPT
> done
>
> # Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
> # pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
> # "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
> # de.comp.os.unix.networking.misc
> # siehe auch
> # http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/3
>
> # ----------------- Skript-Teil aus -------------------
>
> Kappt die Verbindung, wenn mehr als 4 Versuche binnen 60 Sekunden
> auflaufen.
>
> Und lässt sich auch für andere Ports als nur 22 einstellen.
>
> Ok - das hakt (natürlich), wenn ein gewollter Automat derart hektisch anklopft.
>
> Und es hakt auch bei langsamen Kiddy-Skripts (die ich in den letzten 12
> Monaten zweimal erlebt; etwa alle 30 Sekunden ein neuer Versuch). Aber
> da komme ich in die Gegend von tüdeligen erlaubten Benutzern, die sich
> immer wieder vertippen.
>
> Abhilfe: weitere Regel
>
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> -m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH \
> -j REJECT --reject-with tcp-reset
>
> Am Rande: Abbruch nach 3 oder 4 Misserfolgen ist auch an anderen Stellen
> eingestellt; da mault niemand.
>
> Und bei SSH habe ich zusätzlich in "/etc/ssh/sshd_config"
>
> PermitRootLogin without-password
>
> eingestellt; da muss das Kiddy-Skript 2 Passwörter erraten oder sonstwie
> erschnüffelt haben, um "root"-Rechte zu bekommen.
>
> -------------------------------------------------------
>
> Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa 3
> bsi 4 abgewimmelte Versuche.
>
Für sowas gibt's fail2ban :)
Mehr Informationen über die Mailingliste Postfixbuch-users