Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- tux:blockhosts [2011/04/22 14:46]
wikisysop [Konfiguration]
+++ tux:blockhosts [2011/04/22 14:50] (aktuell)
wikisysop [Server Dienst Zugangskontrolle: BlockHosts Skript]
@@ Zeile 4: / Zeile 4: @@
 Wer zB einen öffentlich zugänglichen FTP-Server betreibt, kennt das Szenario: Beim checken der Server Logs wird das Logfiles mit zahlreichen fehlgeschlagenen Anmeldeversuchen förmlich zugespammt. Ich konnte zB auf unseren Servern in Spitzenzeiten mehrere Hunderttausend fehlgeschlagener Anmeldeversuche in einer Nacht feststellen. Meist harmlos, weil da einfach mittels Brute Force((http://de.wikipedia.org/wiki/Brute-Force-Methode)) versucht wird das Passwort zu knacken. IdR ist dies ein Zeichen dafür, dass harmlose Script Kiddies ihr Unwesen treiben. Der unangenehme Nebeneffekt dieser Aktionen besteht allerdings darin, dass das Logfile nicht mehr vernünftig ausgewertet werden kann und die Gefahr steigt, zwischen den endlosen Zeilen doch mal eine wichtige Meldung zu übersehen. Dazu gesellt sich noch die nicht zu unterschätzende Last am Server und der meist begrenzten Internet Bandbreite.
-Man kann diese Art eines Angriffs abwehren, in dem man bei jedem Anmeldeversuch die Logfiles der zu schützenden Dienste nach fehlerhaften Anmeldeversuchen durchsucht und bei einer bestimmten Anzahl fehlerhaften Anmeldeversuche die IP-Adresse des Angreifers für einen bestimmten Zeitraum blockiert. Eine mögliche Variante für dieses Szenario ist das Phyton Script <fc #008000>BlockHosts</fc>((http://www.aczoom.com/cms/blockhosts)). Die IP Adresse des Angreifers wird nach Erreichen einer bestimmten Anzahl fehlerhaften Anmeldeversuche entweder vorübergehend in die Datei <fc #008000>/etc/hosts.allow</fc>((http://linux.die.net/man/5/hosts.allow)) mit dem <fc #008000>deny-Flag</fc> eingetragen oder die Systemfirewall <fc #008000>iptables</fc> wird mit einer <fc #008000>Drop Regel</fc> konfiguriert bzw. es kann ein <fc #008000>Null-Routing</fc> konfiguriert werden, um die TCP-Pakete des Angreifers im Nirvana verschwinden zu lassen. Dieses Tutorial beschränkt sich auf die hosts.allow Variante.
+Man kann diese Art eines Angriffs abwehren, in dem man bei jedem Anmeldeversuch die Logfiles der zu schützenden Dienste nach fehlerhaften Anmeldeversuchen durchsucht und bei einer bestimmten Anzahl fehlerhaften Anmeldeversuche die IP-Adresse des Angreifers für einen bestimmten Zeitraum blockiert. Eine mögliche Variante für dieses Szenario ist das Phyton Script <fc #008000>BlockHosts</fc>((http://www.aczoom.com/cms/blockhosts)). Die IP Adresse des Angreifers wird nach Erreichen einer bestimmten Anzahl fehlerhaften Anmeldeversuche entweder vorübergehend in die Datei <fc #008000>/etc/hosts.allow</fc>((http://linux.die.net/man/5/hosts.allow)) mit dem <fc #008000>deny-Flag</fc> eingetragen oder die Systemfirewall <fc #008000>iptables</fc> wird mit einer <fc #008000>Drop Regel</fc> konfiguriert bzw. es kann ein <fc #008000>Null-Routing</fc> konfiguriert werden, um die TCP-Pakete des Angreifers im Nirvana verschwinden zu lassen. Dieses Tutorial beschränkt sich auf die hosts.allow Variante in Verbindung mit dem freien FTP-Server [[:tux/vsftpd|»vsftpd«]]((http://vsftpd.beasts.org/)).
 ==== Vorraussetzungen: ====

tux/blockhosts.1303476392.txt.gz (20813 views) · Zuletzt geändert: 2011/04/22 14:46 von wikisysop

Seite anzeigen Ältere Versionen

Medien-Manager Nach oben