Automatisches Anlegen restriktiver Regeln im Linux-Paketfilter IPTables

Gegen die Wand

Kaum ist ein Rechner übers Internet erreichbar, prasseln auch gleich die Angriffe auf ihn ein. Tools wie Fail2ban helfen gegen Brute-Force-Angriffe, sind aber kein Allheilmittel. Ein selbstgeschriebenes Skript bietet flexiblen und fehlertoleranten Schutz.
Skripte können Administratoren das Leben deutlich leichter machen - besonders, wenn sich wiederholende Abläufe im Spiel sind. Dabei steht eine Vielzahl an ... (mehr)

Die Paketfilter-Regeln eines Linux-Servers zu pflegen, gehört zu den Routineaufgaben eines Administrators. Häufig kommen sorgsam gepflegte Skripte, White- und Blacklisten zum Einsatz, um den Server vor unautorisiertem Zugriff zu schützen. Öffentliche Blacklisten (zum Beispiel OpenBL.org [1]) verteilen IP-Adressen von Honeypot-Systemen, die allein dem Zweck dienen, Angriffe zu dokumentieren und die IP-Adressen der Angreifer zu verteilen. Das Skript Fail­2ban [2] unterstützt die lokalen Abwehrkräfte durch frühzeitiges Blocken von Hosts, die mehrere erfolglose Zugriffsversuche durchgeführt haben. Damit sperren Sie schon mal den Chef, wenn er ein Dutzend Passwörter von seinem Spickzettel durchprobiert, die Zahl der falsch-positiven Aussperrungen bleibt aber im Rahmen. Fail2ban unterstützt neben SSH alle Dienste, die fehlgeschlagene Loginversuche im Syslog dokumentieren. Nach einem konfigurierbaren Zeitintervall entfernt das Skript die Sperren wieder – bis zur nächsten Angriffswelle.

Skripte wie Fail2ban und der Einsatz von Blacklisten sind sinnvoll und führen zunächst zu einem effektiven Schutz gegen gelegentliche Angreifer. Viele Angreifer sind besser organisiert, haben Zugriff auf ganze Subnetze mit vielen IP-Adressen oder kontrollieren ein Botnetz mit unzähligen Zombies in den dynamischen Adressbereichen asiatischer DSL-Provider. Der Wechsel der IP-Adresse führt dann unmittelbar zu weiteren Freiversuchen für den Angreifer. Die Bemühungen der Abuse-Kontakte bei den Providern sind entweder nicht der Rede wert oder aus anderen Gründen nicht erfolgreich. So sammeln sich über die Dauer der unterschiedlichen Angriffe unüberschaubar lange Listen von einzelnen IP-Adressen, viele aus demselben Subnetz oder unterschiedlichen Subnetzen desselben Dienstanbieters.

Um längerfristig Ruhe zu bekommen, kann es hilfreich sein, den Paketfilter deutlich strenger zu konfigurieren und großzügig nicht nur auffällige Subnetze, sondern auch ganze AS

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite