So blocken Sie automatisch verdächtige IP-Adressen

Datum der VeröffentlichungAutor des ArtikelsSchreibe einen KommentarKommentare zu diesem Artikel
Titelmotiv - So blocken Sie automatisch verdächtige IP-Adressen

Oftmals bemerkt man Hacking-Angriffe erst, wenn Sie Erfolg haben. Wesentlich häufiger sind jedoch Fälle, in denen die Angreifer (noch) nicht zum Ziel gelangen konnten. Doch was nicht ist, kann ja schnell werden. Deshalb sollten Sie Hacking-Angriffen – insbesondere auf Ihren SSH Port – schnellstmöglich einen Riegel vorschieben, zum Beispiel mit einem Intrusion Prevention System, dass verdächtige IP-Adressen, von denen unautorisierte Login-Versuche (Brute Force-Attacken) ausgehen, automatisch blockt. Eines dieser Tools ist fail2ban, das Sie schnell, einfach und vor allem kostenlos auf Ihrem (Virtual) Server installieren können.

Was sind Intrusion-Prevention-Systeme?

Als Intrusion-Prevention-Systeme bezeichnet man Programme, die nach definierten Regeln, Angriffe auf Server und/oder Netzwerke erkennen und gleichzeitig automatisiert Funktionen bereitstellen, um diese Angriff abzuwehren. Grundsätzlich kann man zwei verschiedene Typen von Intrusion-Prevention-Systemen unterscheiden:

Im Folgenden möchte ich Ihnen am Beispiel von fail2ban (einem Host-based IPS) vorstellen, wie Sie das Programm auf einem (Virtual) Server mit einem Linux-basierten Betriebssystem installieren und individuell konfigurieren können.
Loggen Sie sich zunächst über die Konsole auf Ihrem Server ein. Wenn Sie von einem Windows-Rechner auf Ihren Linux-Server zugreifen möchten, können Sie dafür eine Client-Server-Verbindungs-Software wie zum Beispiel Putty verwenden. Zum kostenlosen Download von Putty.

Je nachdem, mit welcher Linux-Version Sie Ihren Server betreiben, können Sie Fail2ban mit folgendem Kommando installieren:

yum install fail2ban (wenn Sie CentOS verwenden)
oder
apt-get install fail2ban (sofern Sie Ubuntu bzw. Debian nutzen)

Standardmässig ist fail2ban mit folgender Sicherheitseinstellung vorkonfiguriert.

maxretry = 3

bantime = 600

Das heisst, bei mehr als 3 falschen Login-Versuchen wird die entsprechende IP-Adresse gesperrt. Die verdächtige IP-Adresse ist dann 10 Minuten (600 Sekunden) geblockt. Erst nach Ablauf dieser Zeit, kann von der IP-Adresse wieder ein Login-Versuch gestartet werden.

Die Konfigurationseinstellungen finden Sie in der Datei jail.conf.

Abbildung - jail_conf

Selbstverständlich könnten Sie die Standardeinstellungen auch individuell ändern, indem Sie die entsprechenden Änderungen in der Datei jail.conf vornehmen. Bei einem Update könnten diese Änderungen jedoch überschieben werden. Deshalb sollten Sie besser eine lokale Variante erzeugen, zum Beispiel mit dem Kommando:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Die lokale Konfigurationsdatei können Sie nun einfach mit einem Texteditor, wie zum Beispiel vi, dem Standard-Texteditor von Linux, öffnen.

vi /etc/fail2ban/jail.local

Mit einem Intrusion-Detection-System (IDS) wie z.B. dem kostenlosen Fail2ban lassen sich Dienste auf Ihrem Server noch besser gegen unbefugte Zugriffe absichern, indem verdächtige IP-Adressen möglicher Angreifer ganz einfach blockiert werden.

Dabei können Sie individuell definieren, ab wie vielen falschen Login-Versuchen eine Adresse gesperrt wird und wie lange diese gesperrt bleiben soll (Minuten, Stunden, Tage …)

Um individuelle Sicherheitseinstellungen vornehmen zu können, müssen Sie Fail2Ban konfigurieren. Erstellen Sie dazu zunächst eine lokale Variante mit dem Befehl:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Öffnen Sie die neue local-Datei in einem Texteditor:

vi /etc/fail2ban/jail.local

Legen Sie fest, wie lange eine verdächtige IP-Adresse geblockt werden soll, indem Sie den Wert der Bantime ändern.

bantime = (Neuer Wert in Sekunden)

Mit dem Wert von maxretry definieren Sie, nach wie vielen falschen Login-Versuchen die entsprechende IP-Adresse automatisch gesperrt werden soll.

maxretry = (Neuer Wert – Anzahl)

Damit die Änderungen in der Konfigurationsdatei wirksam werden, müssen Sie Fail2ban neu starten. Der Neustart erfolgt über den Befehl:

/etc/init.d/fail2ban restart

Wurden verdächtige IP-Adressen geblockt?

Sicherlich möchten Sie wissen, ob und wenn ja, welche IP-Adressen von Fail2ban geblockt wurden. Sie haben zwei Möglichkeiten, sich diese Adressen anzeigen zu lassen.

Zum einen, mit dem Befehl:

Iptables –L

Oder aber, Sie rufen die entsprechende Log-Datei auf, mit dem Kommando:

var/log/fail2ban

Die verdächtigen IP-Adressen können Sie anschliessend optional auch mittels „blacklist“ komplett von Ihrem System ausschliessen.

Sie haben Fragen oder Anregungen zum Thema? Schicken Sie uns einen Kommentar!


 

Veröffentlicht in: Tipps & Tutorials

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.