Automatisches Anlegen restriktiver Regeln im Linux-Paketfilter IPTables

Die Paketfilter-Regeln eines Linux-Servers zu pflegen, gehört zu den Routineaufgaben eines Administrators. Häufig kommen sorgsam gepflegte Skripte, White- und Blacklisten zum Einsatz, um den Server vor unautorisiertem Zugriff zu schützen. Öffentliche Blacklisten (zum Beispiel OpenBL.org [1]) verteilen IP-Adressen von Honeypot-Systemen, die allein dem Zweck dienen, Angriffe zu dokumentieren und die IP-Adressen der Angreifer zu verteilen. Das Skript Fail­2ban [2] unterstützt die lokalen Abwehrkräfte durch frühzeitiges Blocken von Hosts, die mehrere erfolglose Zugriffsversuche durchgeführt haben. Damit sperren Sie schon mal den Chef, wenn er ein Dutzend Passwörter von seinem Spickzettel durchprobiert, die Zahl der falsch-positiven Aussperrungen bleibt aber im Rahmen. Fail2ban unterstützt neben SSH alle Dienste, die fehlgeschlagene Loginversuche im Syslog dokumentieren. Nach einem konfigurierbaren Zeitintervall entfernt das Skript die Sperren wieder – bis zur nächsten Angriffswelle.

Skripte wie Fail2ban und der Einsatz von Blacklisten sind sinnvoll und führen zunächst zu einem effektiven Schutz gegen gelegentliche Angreifer. Viele Angreifer sind besser organisiert, haben Zugriff auf ganze Subnetze mit vielen IP-Adressen oder kontrollieren ein Botnetz mit unzähligen Zombies in den dynamischen Adressbereichen asiatischer DSL-Provider. Der Wechsel der IP-Adresse führt dann unmittelbar zu weiteren Freiversuchen für den Angreifer. Die Bemühungen der Abuse-Kontakte

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.