vertrauenswürdigen IP-Adressen

Lazybone

Lazybone

Member
Hi,

kann ich bei (fail2ban) vertrauenswürdigen IP-Adressen
Wildcards eingeben? Sowas wie
*.dynamic.kabel-deutschland.de
 
Ich kann Dir die Frage leider nicht beantworten, würde jedoch davon abraten, da der rDNS Eintrag jeder IP frei gewählt werden kann.
 
ja, klar, ich weiß. Aber das ist doch sehr unwahrscheinlich,
dass jemand auf xyz.dynamic.kabel-deutschland.de fälscht
 
Was willst du denn erreichen?

fail2ban filtert doch eigentlich eher ungewöhnlichen Traffic heraus und blockt nicht "stumpf" alles.

Wenn deine "vertrauenswürdigen" Quellen entsprechend agieren, kommen die nie auch nur in die Nähe von fail2ban, oder?

Gruß
Markus
 
Naja, fail2ban macht nicht viel, außer irgendwelche Logdateien auf neue Einträge zu überprüfen und diese zu parsen, dns auflösen usw. Kommt dann z.B. eine Regelverletzung bei raus, fügt fail2ban eine neue iptables-Regel hinzu. Alte ausgelaufene Sperren werden auch wieder entfernt. Es gab mal die Diskussion darüber, dass sich fail2ban auch negativ auswirken kann, wenn der Angreifer es drauf anlegt. Das filtern nach rDNS benötigt Zeit, da für jede IP-Adresse eine rDNS-Abfrage gestartet wird. Die benötigt etwas Zeit. D.h. wenn zufällig 10.000 IP gleichzeitig auf irgendeinen Port mit Dienst dahinter connecten, ist fail2ban etwas beschäftigt mit IP-Adressen auflösen. Zum Glück arbeitet fail2ban asyncron und nicht mit Threads. Es kann dann aber vorkommen, dass einige erst später vom Dienst ausgesperrt werden, wenn sie z.B. die falsche rDNS haben. Ich glaube fail2ban soll einem irgendgwie nur ein gutes Gefühl geben. Echte Sicherheit liefert das Tool leider nicht. Nach rDNS würde ich nicht aussperren. Was ist, wenn du mal von woanders auf deinen Server zugreifen willst? Bist gerade zufällig in China oder so. Was machst du dann, wenn du dich selbst ausgesperrt hast?
 
storvi said:
Wenn deine "vertrauenswürdigen" Quellen entsprechend agieren, kommen die nie auch nur in die Nähe von fail2ban, oder?
Click to expand...

na ja, das ist ne gute Frage. Es passiert immer nur bei einem
Kunden, dass der irgendwann nicht mehr auf Seiten kommt,
die auf dem Server gehostet sind, ohne sich ne neue IP
zu verpassen. Was der aber "falsch" macht … ?
 
ja, klar, ich weiß. Aber das ist doch sehr unwahrscheinlich
Click to expand...
Es ist auch unwahrscheinlich, dass jemand dein SSH hackt, wenn du Key-Only-Login hast ;) Und um dem Log-SPAM vorzubeugen reicht es, den SSH Port zu ändern.
 
Lazybone said:
na ja, das ist ne gute Frage. Es passiert immer nur bei einem
Kunden, dass der irgendwann nicht mehr auf Seiten kommt,
die auf dem Server gehostet sind, ohne sich ne neue IP
zu verpassen. Was der aber "falsch" macht … ?
Click to expand...

Meine Glaskugel meint, es könnte am Mailclient beziehingsweise dem entsprechenden Nutzungsverhalten des Users liegen. Er soll den Pollintervall vergrössern oder Du justierst die entsprechende f2b-Rule.


BTW: fail2ban bringt mehr (Sicherheits)Probleme als Nutzen, daher sollte man lieber drauf verzichten.
 
Lazybone said:
na ja, das ist ne gute Frage. Es passiert immer nur bei einem
Kunden, dass der irgendwann nicht mehr auf Seiten kommt,
die auf dem Server gehostet sind, ohne sich ne neue IP
zu verpassen. Was der aber "falsch" macht … ?
Click to expand...

Kann es sein das der Kunde auch Mailkonten auf dem Server hat?
Vielleicht da ein falsches Passwort?
 
lasse Dir einfach von fail2ban eine Mail schicken wenn etwas gebannt wird. Da ist auch noch ein Auszug aus dem log dabei und Du weist woran es liegt.

in de jail.conf muss folgender Eintrag sein damit das geht
action = %(action_mwl)s
Click to expand...

fai2ban neustarten
 
You must log in or register to reply here.
Back
Top