Aus LinuxUser 07/2013

Dienste vor Brute-Force- und Wörterbuch-Attacken schützen (Seite 4)

Der Parameter -p teilt Sshguard mit, wie viele Sekunden es einen attackierenden Host aussperren soll (Vorgabe: 7 Minuten). Die „Vergesslichkeit“ hinter -s legt fest, wie viele Sekunden sich Sshguard fehlerhafte Login-Versuche merkt – der Standardwert beträgt hier 20 Minuten. Probiert ein Angreifer in höheren Intervallen Nutzer/Passwort-Kombinationen durch, zählt Sshguard nicht mit und aktiviert keine Firewall.

Um Nervensägen dauerhaft auszusperren, die mehr als einmal unangenehm aufgefallen sind, ergänzen Sie den Aufruf um den Parameter -b [num:]Datei. Hier legt num fest, nach wie vielen Attacken Sshguard den Angreifer in die Blacklist Datei einträgt. Umgekehrt gibt es eine Whitelist, in der Sie Hosts und Netzwerke auflisten, deren Fehlversuche Sshguard ignorieren soll. Hier existiert allerdings wie bei der entsprechenden Fail2ban-Funktion die Gefahr, Angriffe von innen nicht zu erkennen.

Mit -f Service-Code:PID-File weisen Sie Sshguard an, die Herkunft von Log-Meldungen zu überprüfen. Die PID-Files lassen sich nur in Verbindung mit Syslog und Syslog-ng validieren. Der Service-Code identifiziert den fraglichen Dienst [7]; hier steht etwa 100 für den SSH-Daemon, und das PID-File gehört dem zu überwachenden Service.

Erkennt Sshguard, dass eine Log-Meldung von einem anderen als dem zu überwachenden Dienst kam, ignoriert es sie. Stimmt die PID mit dem Service oder einem übergeordneten Prozess überein, wird sie akzeptiert und ausgewertet. Die Entwickler weisen darauf hin, dass die Log-Validierung mit Log Sucker momentan noch nicht richtig funktioniert, und raten, von der Nutzung abzusehen, bis eine neue Version veröffentlicht wurde.

Empfinden Sie Sshguard im Vordergrund als störend, schicken Sie den Prozess gleich nach dem Start in den Hintergrund, indem er ihm ein abschließendes & mitgeben. Um den Dienst nicht nach jedem Booten manuell starten zu müssen, tragen ist die Startanweisung in ein Startskript ein, etwa in /etc/rc.local.

Pförtner testen

Ob Fail2ban oder Sshguard zukünftig potenzielle Störenfriede zuverlässig abweisen, können Sie schnell testen: Dazu genügt es, sich einige Male falsch einzuloggen. Bereits nach wenigen Fehlversuchen sollte sich der Server tot stellen. Eine Ausgabe der Iptables-Regeln mit iptables -L sollte die entsprechende Firewall-Regel anzeigen (Abbildung 2).

Abbildung 2: Ob Fail2ban und Sshguard wie erwartet funktionieren, erfahren Sie im Selbsttest und durch einen Blick auf die Firewall.
Abbildung 2: Ob Fail2ban und Sshguard wie erwartet funktionieren, erfahren Sie im Selbsttest und durch einen Blick auf die Firewall.

Fazit

Fail2ban bringt den größeren Funktionsumfang mit. Es kann praktisch jede aus dem Internet erreichbare Anwendung schützen, die Log-Dateien schreibt. Zudem nimmt es bei Angriffen jede Aktion vor, die Sie definieren. Über die Paketverwaltung einer Distribution installiert bietet Fail2ban meist bereits eine gute Basis mit zahlreichen Filtern, Aktionen und Jails.

Sshguard beherrscht nur die bereits mit einkompilierten Filter, eigene Regeln kann man hier nicht ohne Weiteres hinzufügen. Andererseits müssen Sie sich hier aber auch nicht mit regulären Ausdrücken plagen: Sie bringen den Dienst in Windeseile und mit nur wenigen Tastenanschlägen in Stellung und lassen ihn dann seines Amtes walten. Bei der Touchiness handelt es sich um ein nettes Feature, das hartnäckige Fieslinge schnell ins Aus schießt.

Beide Anwendungen bieten ein Whitelisting, mit dem Sie bestimmten Hosts einen Freibrief ausstellen. Erfolgt jedoch ein Angriff von innen oder wurde ein als vertrauenswürdig eingestufter Host gekapert, kann die Whitelist nach hinten losgehen.

Sowohl Fail2ban als auch Sshguard verrichten letztlich ihre Aufgaben tadellos und zuverlässig, jedoch kann weder das eine noch das andere Programm eine Firewall ersetzen. Beide ergänzen diese nur um eine zusätzliche Schutzfunktion. 

Glossar

IDS

Intrusion Detection System. Bei solchen Angriffserkennungssystemen unterscheidet man grundsätzlich zwischen hostbasierten HIDS, welche die auf einem Rechner anfallenden (Log-)Daten laufend auswerten, und netzwerkbasierten NIDS, welche den Netzwerkverkehr auf Unregelmäßigkeiten hin analysieren. Viele IDS-Implementationen kombinieren heute HIDS- und NIDS-Fähigkeiten.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 6 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
KAUFEN
LinuxUser 07/2013 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: