IPtables - IPset - Blacklist und Länderspere

[Mutti]

Hallo, bin gerade meine IPtabels am neu konfigurieren.

Es stellt sich aktuelle die Frage nach zwei IPsets. Eine Blackliste und einmal Ländersperre.

Das wohl die Ländersperre wohl ziemlich umfangreich wird, wie wirkt sich dass auf auf die Performance aus?

Die Frage ist natürlich auch, wenn ich Fail2ban nutze ob solche Sperren überhaupt nötig sind.

Vielen Dank voraus.

 

[Thorsten]

Siehe z.B. https://serverfault.com/questions/928011/geoip-apache-mod-whitelist-by-country-and-local-network
Wie sinnvoll oder effektiv so etwas in Zeiten von inkorrekten IP / Country Zuordnungen, weltweiten CDN / Cloud Providern oder VPNs / TOR ist, musst du selbst entscheiden. Meine Erfahrung ist, dass der Aufwand (sofern man dies nicht auf einen (möglicherweise problematischen) Dienstleister auslagert) der Mühe nicht lohnt. Wer Zugang will, bekommt ihn auch.

 

[greystone]

Man könnte das auf zwei verschiedene Arten angehen:

a) auf Verdacht mal einschalten - und schauen ob's Probleme gibt.
b) abwarten bis es Probleme gibt und wenn das ländermässig zugeordnet werden kann, ab dann ein Geoblocking einschalten.

Bei mir ist das manchmal nicht unbedingt eine Frage der Sicherheit, sondern der Performance, wenn das Grundrauschen dermaßen hoch ist, dass der Dienst das nicht mehr packt.

 

[nexus]

Das wohl die Ländersperre wohl ziemlich umfangreich wird, wie wirkt sich dass auf auf die Performance aus?

Wenn du deinen Server nicht gerade auf einem Raspberry Pi betreibst, sollte das nicht ins Gewicht fallen.

Es stellt sich aktuelle die Frage nach zwei IPsets. Eine Blackliste und einmal Ländersperre.

Blocken über IP macht aus oben genannten Gründen, die IP auf vielfältige Art verschleiern zu können, kaum noch Sinn.
Wenn man denn blocken will/muß, dann sollte man die dynamische Variante über F2B o.ä. nutzen.
Statische Listen (BL/WL) mögen in spezifischen Setups durchaus sinnvoll sein, im normalen Adminalltag aber eher weniger...

 

[GwenDragon]

Die Frage ist natürlich auch, wenn ich Fail2ban nutze ob solche Sperren überhaupt nötig sind.

In jedem Falle ist es einfacher Jails zu schreiben, die illegale Zugriffe in Logfiles erkennen.
Auch wenn nicht alles so schnell erkannt werden kann durch Logfileüberwachung.

 

[Thorsten]

In diesem Zusammenhang mal eine Zusatzfrage. Ich beantworte unerwünschte Zugriffe auf Länderbasis inzwischen mit einem HTTP 451 und werte diese nicht weiter aus. 403er / 404er werte ich aus und korrigiere diese auch entsprechend. Kann man so machen? Lieber nicht?

Vielen Dank für Meinungen.

 

[Mutti]

Also, ich werte meine 403/405 und die Bans von fail2ban aus und pflege eine Blacklist, die ich über IPset sperre.

Ich überprüfe die Listen dann über die API bei https://www.abuseipdb.com.

Dafür habe ich ein PowerShell-Skript geschrieben, mit dem ich meine Datenbank, in der ich die Liste pflege, abgleichen kann.

Die IPs, die zumindest einen Score von 100 haben, sowie Besucher aus weit entfernten Ländern, sind dauerhaft ausgesperrt. Es ist auf jeden Fall merklich ruhiger geworden.

 

[Thorsten]

Die IPs, die zumindest einen Score von 100 haben, sowie Besucher aus weit entfernten Ländern, sind dauerhaft ausgesperrt. Es ist auf jeden Fall merklich ruhiger geworden.

Wie ausgesperrt ist die Frage? 403, 404, 451?