robertroth: iptables, Netzmaske bestimmen, Bereich aussperren

Beitrag lesen

SELF-Forum

iptables, Netzmaske bestimmen, Bereich aussperren

robertroth
Informationen zu den Bewertungsregeln

Liebe Mitdenker, liebe Wissende, liebe Neugierige,

ja!

Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?

Sollte man doch annehmen, bei der Größe Chinas, oder? Auch aus der Ukraine, aus der Türkei, usw. kommen legale Zugriffe. Die kommen auch über ISPs bzw. Access-Provider für DSL. Jaaaa, die haben da auch schon sowas. Und sogar oft auf dem Land schon mit einer Geschwindigkeit, von der wir noch in der Stadt träumen. ;-)

Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.

Ich lasse fail2ban laufen, lasse jede Stunde einen Cronjob das Log auswerten und bei Häufung von temporäten Aussperrungen einer IP eine Warnung absetzen. Die Warnungen sehe ich regelmäßig an und wenn die alle zu einem Netz gehören, wird das ganze Netz gesperrt, wenn es nich zu groß ist und keine IP davon auf meiner Whitelist steht (habe ich jetzt erst angefangen, ist auch nicht so ganz einfach).

Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.

Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.

Angegriffen wird üblicherweise SSH, Mail und FTP (da läuft aber nur ein Fake). Dann gibt es noch einen DBMS-Port mit TLS-Hülle (eine Art VPN), der wird aber nur selten getroffen und außerdem ist das interne Protokoll proprietär. Bisher hat es keinen fremden Loginversuch gegeben.

HTTP-Verusche müsste ich doch irgendwie in den Apache-Server-Logs sehen? Ist natürlich nicht ganz leicht, weil nicht alle Weichwaren die HTTP-Status-Codes einhalten. Aber im Weichwaren-Protokoll müsste es noch auftauchen. Da geben die ich auch gar nicht erst Mühe. Die scheinen zu wissen, dass man bei knackbaren HTTP-Zugängen sowieso nix holen kann.

Spirituelle Grüße
Euer Robert

--
Möge der wahre Forumsgeist ewig leben!
Beitrag melden
Informationen zu den Bewertungsregeln
0 15

iptables, Netzmaske bestimmen, Bereich aussperren

robertroth
  • webserver
  1. 0
    dedlfix
    1. 0
      robertroth
      1. 0
        dedlfix
  2. 1
    Jörg Reinholz
    1. 0
      robertroth
      1. 0
        Auge
      2. 1
        Jörg Reinholz
        1. 1
          Jörg Reinholz
          1. 0
            robertroth
  3. 0
    robertroth
    • sicherheit
    • webserver
    1. 1
      Jnnbo
      1. 0
        robertroth
        • zu diesem forum
        1. 0
          dedlfix
      2. 0
        dedlfix