[Postfixbuch-users] OT: Firewallalternativen

Werner Detter werner at aloah-from-hell.de
Sa Jun 22 15:50:36 CEST 2013


Am 22.06.13 11:40, schrieb Helmut Hullen:
> Hallo, Hajo,
> 
> Du meintest am 18.06.13:
> 
>> mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables
>> oder andere Software?
> 
> Ja - ist hier eher off topic ...
> 
>> Wir kucken per fail2ban und anderen Methoden verschiedenste Logs
>> durch und sperren IPs temporär wenn zu viele Fehllogins oder andere
>> Hackversuche festgestellt wurden.
>> Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht
>> mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden,
>> dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht
>> mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr
>> iptables einfach effizienter?
> 
> Zu dem Problembereich findest Du ganz aktuell in "Linux-user" 07/13  
> einen längeren Artikel:
> 
> "Türsteher", Seite 26-31
> 
> -------------------
> 
> Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von  
> Script-Kiddies kommen, einen Abschnitt in der "iptables"-Konfiguration:
> 
> 
> # ----------------- Skript-Teil ein -------------------
> 
> WAN=ppp+ eth1
> IPTABLES_BIN=/usr/sbin/iptables
> # diese beiden Variablen sind anzupassen
> 
> 	for Interf in $WAN; do
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> 	-m recent --set --name SSH
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> 	-m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
> 	-j REJECT --reject-with tcp-reset
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> 	-j ACCEPT
>    done
> 
> # Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
> # pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
> # "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
> # de.comp.os.unix.networking.misc
> # siehe auch
> # http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/3
> 
> # ----------------- Skript-Teil aus -------------------
> 
> Kappt die Verbindung, wenn mehr als 4 Versuche binnen 60 Sekunden
> auflaufen.
> 
> Und lässt sich auch für andere Ports als nur 22 einstellen.
> 
> Ok - das hakt (natürlich), wenn ein gewollter Automat derart hektisch anklopft.
> 
> Und es hakt auch bei langsamen Kiddy-Skripts (die ich in den letzten 12  
> Monaten zweimal erlebt; etwa alle 30 Sekunden ein neuer Versuch). Aber
> da komme ich in die Gegend von tüdeligen erlaubten Benutzern, die sich  
> immer wieder vertippen.
> 
> Abhilfe: weitere Regel
> 
> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
> 	-m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH \
> 	-j REJECT --reject-with tcp-reset
> 
> Am Rande: Abbruch nach 3 oder 4 Misserfolgen ist auch an anderen Stellen  
> eingestellt; da mault niemand.
> 
> Und bei SSH habe ich zusätzlich in "/etc/ssh/sshd_config"
> 
>         PermitRootLogin without-password
> 
> eingestellt; da muss das Kiddy-Skript 2 Passwörter erraten oder sonstwie  
> erschnüffelt haben, um "root"-Rechte zu bekommen.
> 
> -------------------------------------------------------
> 
> Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa 3  
> bsi 4 abgewimmelte Versuche.
>

Für sowas gibt's fail2ban :)






Mehr Informationen über die Mailingliste Postfixbuch-users