IPTables, Attacken deaktivieren/minimieren?

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von COOLover, 28.05.2006.

  1. #1 COOLover, 28.05.2006
    COOLover

    COOLover Grünschnabel

    Dabei seit:
    28.05.2006
    Beiträge:
    1
    Zustimmungen:
    0
    Ort:
    Nienburg
    Hallo zusammen,

    ich habe schon die Forum Suche udn die Glaskugel Google befragt, doch leider nichts passendes gefunden und hoffe jetzt, das einer von euch mir helfen kann.

    Und zwar bekomme ich z.Zt. vermehrt angriffe auf SSHd, doch kann/will den SSH Port nicht umlegen.
    Daher suche ich eine möglichkeit, das ich Attacken deaktivieren oder sperren kann.

    z.Zt. führe ich täglich ein Statistikscript durch, welches die /var/log/auth.log duchforstet und mir ausgibt, welche ips versucht haben mit welchen usern einzuloggen.
    z.B:
    Code:
    Probierte Usernamen:
         52 user
         72 test
    IPs:
         38 196.29.***.***
        489 211.137.***.***
        834 202.181.***.***
       2654 61.218.***.***
    Anhand dieser statistik, sperre ich die einzelnen IPs, welches aber erst im nachhinein nichts bringt.

    Von daher brauche ich eins welches schnell reagiert


    habe bei der Glaskugel folgendes gefunden, doch bin mir nicht sicher ob er SSH komplett oder nur für die IP sperrt

    Code:
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
    
    Das erlaubt drei Zugriffe pro Minute auf den ssh-Dienst und macht dann für 60 Sekunden dicht. Sehr schick.
    
    Die Whitelist muss natürlich entsprechend eingerichtet werden:
    
    iptables -N SSH_WHITELIST
    iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT
    und 60 Sekunden sind auch zu wenig, da würde ich 3600Sek (60min) machen.



    wenn ich den code oben nehmen würde, muss ich aus das
    Code:
    # SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    aus meinem IPTables script entfernen?

    Würde mich über hilfreiche antworten freuen


    (Debian 3.x)
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Dieser Thread dürfte für dich lesenswert sein ...

    Stichwort Portknocking sollte dir bei deinem Problem helfen ;)

    EDIT: Vielleicht schrubbe ich auch grade am Thema vorbei *g*
     
  4. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    http://www.kai-oesterreich.de/portknocking.html
     
  5. #4 lordlamer, 28.05.2006
    lordlamer

    lordlamer Haudegen

    Dabei seit:
    15.05.2003
    Beiträge:
    703
    Zustimmungen:
    0
    Ort:
    hamburg
    Hi,

    zieh dir das Paket fail2ban bei Debian. Gibts in Testing. Kannst du aber auch in Sarge verwenden!

    Das blockt automatisch IPs wenn diese mehr als X Versuche gebraucht haben um sich per SSH einzuloggen. Nach einer gewissen Zeit von Y werden die IPs auch wieder freigegeben.

    Einfach konfig anpassen und gut is ;)

    Mfg Frank
     
  6. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Mit Snort liesse sich sowas auch problemlos in den Griff bekommen. Einfach einen Regelsatz schreiben, der nach dem ersten Versuch mit falschem Username die IP sperrt.
     
  7. #6 damager, 28.05.2006
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    oder dir könnte auch das helfen.
    titel: "Preventing SSH Dictionary Attacks With DenyHosts"
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

IPTables, Attacken deaktivieren/minimieren?

Die Seite wird geladen...

IPTables, Attacken deaktivieren/minimieren? - Ähnliche Themen

  1. FTP/FTPS ohne ip_conntrack_ftp oder nf_conntrack_ftp mit iptables

    FTP/FTPS ohne ip_conntrack_ftp oder nf_conntrack_ftp mit iptables: Guten Tag, kennt jemand von euch eine Möglichkeit wie ich vsftpd nutzen kann zusammen mit einer Firewall ohne die im Betreff angegebenen...
  2. iptables und whitelist

    iptables und whitelist: Moin zusammen, Nach einer Ewigkeit melde ich mich mal hier zurück. Ich hab da so ein kleines Problemchen. Ich mach z.Zt. eine Umschulung zum...
  3. iptables blocke nur von bestimmter ip

    iptables blocke nur von bestimmter ip: Hallo, ich habe ein kleines Heimnetzwerk mit einem Router unter openWRT. Dort kann ich mittels iptables -I OUTPUT -p udp --dport 53 -m...
  4. Opensuse iptables (yast FW) + MiniUPnPd

    Opensuse iptables (yast FW) + MiniUPnPd: Hallo zusammen, ich habe ja meine OpenSuse Box momentan als Gateway eingerichtet und der Router dient nur als Access Point für alle Geräte...
  5. IPtables

    IPtables: Hallo Leute, bin zurzeit dabei, einen Proxy aufzusetzen, der die IP meines Webservers vetuschen soll. Es läuft eig. schon alles super, nur eine...