Automatisches Anlegen restriktiver Regeln im Linux-Paketfilter IPTables

Gegen die Wand

Kaum ist ein Rechner übers Internet erreichbar, prasseln auch gleich die Angriffe auf ihn ein. Tools wie Fail2ban helfen gegen Brute-Force-Angriffe, sind aber kein Allheilmittel. Ein selbstgeschriebenes Skript bietet flexiblen und fehlertoleranten Schutz.
Aus IT-Administrator 05/2016
Skripte können Administratoren das Leben deutlich leichter machen - besonders, wenn sich wiederholende Abläufe im Spiel sind. Dabei steht eine Vielzahl an ... (mehr)

Die Paketfilter-Regeln eines Linux-Servers zu pflegen, gehört zu den Routineaufgaben eines Administrators. Häufig kommen sorgsam gepflegte Skripte, White- und Blacklisten zum Einsatz, um den Server vor unautorisiertem Zugriff zu schützen. Öffentliche Blacklisten (zum Beispiel OpenBL.org [1]) verteilen IP-Adressen von Honeypot-Systemen, die allein dem Zweck dienen, Angriffe zu dokumentieren und die IP-Adressen der Angreifer zu verteilen. Das Skript Fail­2ban [2] unterstützt die lokalen Abwehrkräfte durch frühzeitiges Blocken von Hosts, die mehrere erfolglose Zugriffsversuche durchgeführt haben. Damit sperren Sie schon mal den Chef, wenn er ein Dutzend Passwörter von seinem Spickzettel durchprobiert, die Zahl der falsch-positiven Aussperrungen bleibt aber im Rahmen. Fail2ban unterstützt neben SSH alle Dienste, die fehlgeschlagene Loginversuche im Syslog dokumentieren. Nach einem konfigurierbaren Zeitintervall entfernt das Skript die Sperren wieder – bis zur nächsten Angriffswelle.

Skripte wie Fail2ban und der Einsatz von Blacklisten sind sinnvoll und führen zunächst zu einem effektiven Schutz gegen gelegentliche Angreifer. Viele Angreifer sind besser organisiert, haben Zugriff auf ganze Subnetze mit vielen IP-Adressen oder kontrollieren ein Botnetz mit unzähligen Zombies in den dynamischen Adressbereichen asiatischer DSL-Provider. Der Wechsel der IP-Adresse führt dann unmittelbar zu weiteren Freiversuchen für den Angreifer. Die Bemühungen der Abuse-Kontakte bei den Providern sind entweder nicht der Rede wert oder aus anderen Gründen nicht erfolgreich. So sammeln sich über die Dauer der unterschiedlichen Angriffe unüberschaubar lange Listen von einzelnen IP-Adressen, viele aus demselben Subnetz oder unterschiedlichen Subnetzen desselben Dienstanbieters.

Um längerfristig Ruhe zu bekommen, kann es hilfreich sein, den Paketfilter deutlich strenger zu konfigurieren und großzügig nicht nur auffällige Subnetze, sondern auch ganze AS

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing