IPTables, Attacken deaktivieren/minimieren?

C

COOLover

Hallo zusammen,

ich habe schon die Forum Suche udn die Glaskugel Google befragt, doch leider nichts passendes gefunden und hoffe jetzt, das einer von euch mir helfen kann.

Und zwar bekomme ich z.Zt. vermehrt angriffe auf SSHd, doch kann/will den SSH Port nicht umlegen.
Daher suche ich eine möglichkeit, das ich Attacken deaktivieren oder sperren kann.

z.Zt. führe ich täglich ein Statistikscript durch, welches die /var/log/auth.log duchforstet und mir ausgibt, welche ips versucht haben mit welchen usern einzuloggen.
z.B:
Code: 
Probierte Usernamen:
     52 user
     72 test
IPs:
     38 196.29.***.***
    489 211.137.***.***
    834 202.181.***.***
   2654 61.218.***.***

Anhand dieser statistik, sperre ich die einzelnen IPs, welches aber erst im nachhinein nichts bringt.

Von daher brauche ich eins welches schnell reagiert


habe bei der Glaskugel folgendes gefunden, doch bin mir nicht sicher ob er SSH komplett oder nur für die IP sperrt

Code: 
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

Das erlaubt drei Zugriffe pro Minute auf den ssh-Dienst und macht dann für 60 Sekunden dicht. Sehr schick.

Die Whitelist muss natürlich entsprechend eingerichtet werden:

iptables -N SSH_WHITELIST
iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT

und 60 Sekunden sind auch zu wenig, da würde ich 3600Sek (60min) machen.



wenn ich den code oben nehmen würde, muss ich aus das
Code: 
# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
aus meinem IPTables script entfernen?

Würde mich über hilfreiche antworten freuen


(Debian 3.x)
 
Dieser Thread dürfte für dich lesenswert sein ...

Stichwort Portknocking sollte dir bei deinem Problem helfen ;)

EDIT: Vielleicht schrubbe ich auch grade am Thema vorbei *g*
 
Hi,

zieh dir das Paket fail2ban bei Debian. Gibts in Testing. Kannst du aber auch in Sarge verwenden!

Das blockt automatisch IPs wenn diese mehr als X Versuche gebraucht haben um sich per SSH einzuloggen. Nach einer gewissen Zeit von Y werden die IPs auch wieder freigegeben.

Einfach konfig anpassen und gut is ;)

Mfg Frank
 
Mit Snort liesse sich sowas auch problemlos in den Griff bekommen. Einfach einen Regelsatz schreiben, der nach dem ersten Versuch mit falschem Username die IP sperrt.
 
oder dir könnte auch das helfen.
titel: "Preventing SSH Dictionary Attacks With DenyHosts"
 
Anmelden, um zu antworten.

Ähnliche Themen

Port Forwarding mit iptables
Port Forwarding mit iptables: Hallo beisammen, ich würde gerne von A nach B den SMTP Port weiterleiten - als Port Forwarding. Ich habe folgendes auf A versucht: iptables -t nat -A...

ip6tables Problem
ip6tables Problem: Hallo zusammen, ich hab ein Problem kann aber keinen Fehler finden, äußert sich wie folgt, ich habe endlich für ein System in Netz eine IPv6 bekommen und...

iptables verständniss frage, xrdp nicht erreichbar.
iptables verständniss frage, xrdp nicht erreichbar.: Nabend, ich spiele gerade etwas mit iptables rum, im wahrsten sinne des Wortes und versuche folgendes zu verstehen. Erstmal meine Config: #!/bin/sh...

[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.
[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.: Hallo zusammen, ich habe auf einem XenServer (CentOS 7) einen Samba Server installiert und eingerichtet. Ich habe auch entsprechende Regeln in die...

Wired-Lan komisches Verhalten
Wired-Lan komisches Verhalten: Hallo zusammen, ich hab bei meinem router ein sehr komisches Verhalten festgestellt. Leider lässt es sich nicht einfach reproduzieren, weil manchmal geht es...

Neueste Themen

Zurück
Oben