Hallo an alle, ich erlebe immer wieder Angriffsversuche durch berstimmte IP- Adressen. Wie kann ich diese blockieren? Wenn ich das richtig verstanden habe, geht ein block mit dem Befehl /sbin/route add -host 222.186.134.98 reject bei jedem Neuboot verloren (also alle paar Jahre ;-) ) -- Best Regards, Walter Ulmke Ulmke Machine Tools, 48496 Hopsten, Germany Tel. ++49/5458/93345-0 Fax. ++49/5458/93345-45 Mobile: ++49/172/5357999 eMail: ulw@ulmke.com Dipl.-Ing. Walter Ulmke e.K. AG Steinfurt HRA 4384 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 25.04.2015 um 15:57 schrieb Walter Ulmke:
Hallo an alle,
ich erlebe immer wieder Angriffsversuche durch berstimmte IP- Adressen.
Wie kann ich diese blockieren?
Wenn ich das richtig verstanden habe, geht ein block mit dem Befehl
/sbin/route add -host 222.186.134.98 reject
bei jedem Neuboot verloren (also alle paar Jahre ;-) )
-- Best Regards, Walter Ulmke
Ulmke Machine Tools, 48496 Hopsten, Germany Tel. ++49/5458/93345-0 Fax. ++49/5458/93345-45 Mobile: ++49/172/5357999 eMail: ulw@ulmke.com Dipl.-Ing. Walter Ulmke e.K. AG Steinfurt HRA 4384
Probier mal fail2ban. mfg K. Müller
Am Sat, 25 Apr 2015 15:57:55 +0200
schrieb Walter Ulmke
Wenn ich das richtig verstanden habe, geht ein block mit dem Befehl
/sbin/route add -host 222.186.134.98 reject Hier hätte ich erhebliche Bedenken. Wenn ein Angrffspaket bis zu route vordringt, ist das schon viel zu weit. Lt. man-Page zu route benennt -host xxx.yyy.zzz das Ziel (target) des Routings und bei reject wird ausdrücklich darauf hingewiesen, daß es keine Firewall-Funktion ist.
Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 25.04.2015 um 20:07 schrieb jpr.liste01@jpberlin.de:
Am Sat, 25 Apr 2015 15:57:55 +0200 schrieb Walter Ulmke
: Hallo Walter!
Neben dem schon erwähnten fail2ban gibt es noch eine radikalere, dafür aber auch statischere Methode. Hier mußt Du entscheiden, was besser zu Deinen Erfordernissen paßt.
Du kannst in der Firewall bestimmte IP-Adressen bzw. Netzwerksegmente differenziert nach Protokollen und Ports grundsätzlich sperren. Schau Dir dazu mal in /etc/sysconfig/SuSEfirewall2 die Option FW_SERVICES_DROP_EXT="" an. Noch differenzierter geht es in /etc/sysconfig/scripts/SuSEfirewall2-custom
Ich würde die Pakete allerdings nicht mit REJECT, sondern mit DROP verarbeiten. Man muß dem Angreifer nicht noch Informationen liefern.
Wenn ich das richtig verstanden habe, geht ein block mit dem Befehl
/sbin/route add -host 222.186.134.98 reject Hier hätte ich erhebliche Bedenken. Wenn ein Angrffspaket bis zu route vordringt, ist das schon viel zu weit. Lt. man-Page zu route benennt -host xxx.yyy.zzz das Ziel (target) des Routings und bei reject wird ausdrücklich darauf hingewiesen, daß es keine Firewall-Funktion ist.
Viele Grüße
Matthias Da Portscans und Angriffe häufig von wechselnden IP-Adressen aus erfolgen (Botnetze) machen statische Zuordnungen keinen grossen Sinn. Beim nächsten Reset der DSL-Verbindung hat der Angreifer eine andere IP-Adresse. Ausserdem gibts Möglichkeiten, die IP-Adresse zu fälschen.
mfg K. Müller
vielen herzlichen Dank an Matthias und Kasimir für die Hinweise. Ich habe erst mal genug für wochenlange Unterhaltung ;-) Ich melde mich erstmal ab. -- Best Regards, Walter Ulmke Ulmke Machine Tools, 48496 Hopsten, Germany Tel. ++49/5458/93345-0 Fax. ++49/5458/93345-45 Mobile: ++49/172/5357999 eMail: ulw@ulmke.com Dipl.-Ing. Walter Ulmke e.K. AG Steinfurt HRA 4384 Am Sonntag, 26. April 2015, 09:59:49 schrieb Kasimir Müller:
Am 25.04.2015 um 20:07 schrieb jpr.liste01@jpberlin.de:
Am Sat, 25 Apr 2015 15:57:55 +0200 schrieb Walter Ulmke
: Hallo Walter!
Neben dem schon erwähnten fail2ban gibt es noch eine radikalere, dafür aber auch statischere Methode. Hier mußt Du entscheiden, was besser zu Deinen Erfordernissen paßt.
Du kannst in der Firewall bestimmte IP-Adressen bzw. Netzwerksegmente differenziert nach Protokollen und Ports grundsätzlich sperren. Schau Dir dazu mal in /etc/sysconfig/SuSEfirewall2 die Option FW_SERVICES_DROP_EXT="" an. Noch differenzierter geht es in /etc/sysconfig/scripts/SuSEfirewall2-custom
Ich würde die Pakete allerdings nicht mit REJECT, sondern mit DROP verarbeiten. Man muß dem Angreifer nicht noch Informationen liefern.>
Wenn ich das richtig verstanden habe, geht ein block mit dem Befehl
/sbin/route add -host 222.186.134.98 reject
Hier hätte ich erhebliche Bedenken. Wenn ein Angrffspaket bis zu route vordringt, ist das schon viel zu weit. Lt. man-Page zu route benennt -host xxx.yyy.zzz das Ziel (target) des Routings und bei reject wird ausdrücklich darauf hingewiesen, daß es keine Firewall-Funktion ist.
Viele Grüße
Matthias
Da Portscans und Angriffe häufig von wechselnden IP-Adressen aus erfolgen (Botnetze) machen statische Zuordnungen keinen grossen Sinn. Beim nächsten Reset der DSL-Verbindung hat der Angreifer eine andere IP-Adresse. Ausserdem gibts Möglichkeiten, die IP-Adresse zu fälschen.
mfg
K. Müller
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sun, 26 Apr 2015 09:59:49 +0200
schrieb Kasimir Müller
Da Portscans und Angriffe häufig von wechselnden IP-Adressen aus erfolgen (Botnetze) machen statische Zuordnungen keinen grossen Sinn. Beim nächsten Reset der DSL-Verbindung hat der Angreifer eine andere IP-Adresse. Ausserdem gibts Möglichkeiten, die IP-Adresse zu fälschen.
mfg
K. Müller
Hallo Kasimir! Nur nochmal zum Verständnis: Bei dem Szenario, das Du beschreibst und das auch nach meinen LOG-Dateien den größten Teil aller Angriffe ausmacht (wechselnde IP-Adressen, evtl. IP-Spoofing) ist fail2ban meistens die bessere Variante. Walter schrieb aber:
ich erlebe immer wieder Angriffsversuche durch berstimmte IP- Adressen.
Wie kann ich diese blockieren?
Offensichtlich konnte er über einen längeren Zeitraum feste IP-Adressen als Angriffsquelle ausmachen, zumindest hatte ich es so verstanden. In dem Falle kann man schonmal diese Adressen oder einen ganzen IP-Bereich statisch aussperren; vorausgesetzt, man erwartet von dort keinen regulären Verbindungsaufbau. Möglicherweise muß man auch beide Varianten kombinieren. Es hängt, wie schon gesagt, immer von den konkreten Umständen, die ich nicht kenne, ab und läßt sich sehr weit ausdifferenzieren. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
jpr.liste01@jpberlin.de
-
Kasimir Müller
-
Walter Ulmke