Hallo, ich benutze fail2ban und überlege gerade, ob es wohl Möglichkeiten gibt, beim Blocken lediglich nur die betreffenden falschen Anmeldeversuche zu sperren.
Sitzen mehrere Leute hinter einem Router und loggt sich jemand beispielsweise mehrfach irgendwo falsch ein, wird schließlich das ganze Netzwerk laut externer IP geblockt.
Gibt es Möglichkeiten, dass andere korrekte Eingaben zu existierenden Userdaten nicht geblockt werden?
Firewall blocken nach Anmeldedaten
-
heisenberg
- Beiträge: 4203
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Firewall blocken nach Anmeldedaten
Das wäre die klassische Aufgabe eines Network Intrusion Detection Systems(Siehe hier für eine Auswahl: https://www.alienvault.com/blogs/securi ... k-overview)
Mit fail2ban kann man das auch machen, wenn man auf mehreren Hosts mit fail2ban dann jeweils z. B. per SSH auf dem Router die IP sperrt und auch wieder löscht. (Man kann auch die IP-Sperre auf eine Netzwerksperre ausweiten). Denkbar wäre auch eine synchronisation der fail2bans untereinander, so dass eine Sperre/Freigabe auf allen Hosts durchgeführt wird.
Das ist allerdings dann etwas Bastelarbeit.
Mit fail2ban kann man das auch machen, wenn man auf mehreren Hosts mit fail2ban dann jeweils z. B. per SSH auf dem Router die IP sperrt und auch wieder löscht. (Man kann auch die IP-Sperre auf eine Netzwerksperre ausweiten). Denkbar wäre auch eine synchronisation der fail2bans untereinander, so dass eine Sperre/Freigabe auf allen Hosts durchgeführt wird.
Das ist allerdings dann etwas Bastelarbeit.
-
BenutzerGa4gooPh
Re: Firewall blocken nach Anmeldedaten
Danke für die Übersicht! snort und suricata waren mir bekannt, da pfSense und OPNSense diese als Zusatzpakete mitliefern - aber noch nie probiert.heisenberg hat geschrieben:12.07.2018 16:48:03Das wäre die klassische Aufgabe eines Network Intrusion Detection Systems(Siehe hier für eine Auswahl: https://www.alienvault.com/blogs/securi ... k-overview)
Re: Firewall blocken nach Anmeldedaten
Naja. Die Frage wäre vielleicht noch ob du überhaupt viel mehr als eine externe IP-Adresse vom Angreifer hast. Oft werden Angriffe über beliebige Benutzeraccounts gefahren, die weder von außen erreichbar (z. B. root) sind noch existieren. Da ist einzig eine vollständige Sperre der IP-Adresse sinnvoll. Oder hast du einen SSH-Server mit Tausenden von Accounts, wo unterschiedliche Benutzer über identische lokale Netzwerke (z. B. DSL-Anschlüsse) zugreifen, da sie verwandt sind bzw. in einer gemeinsamen Firma bzw. Institution arbeiten? Das erscheint mir unwahrscheinlich.
Re: Firewall blocken nach Anmeldedaten
@uname
Eigentlich handelt es sich um einen simplen, relayenden Mailserver mit zusätzlicher Webmaske, der an einem anderen Standort steht.
Eigentlich handelt es sich um einen simplen, relayenden Mailserver mit zusätzlicher Webmaske, der an einem anderen Standort steht.