fail2ban oder knockd

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

fail2ban oder knockd

Beitrag von Duff » 08.10.2008 16:03:44

Hallo,

ich bin dabei einen "Home-"Server aufzusetzen, den ich dann mittels ssh fern-administrieren werde (und auch bisher habe).

Dazu habe ich auf der fritzbox Ports für ssh und openvpn offen (im Private Ports Bereich) und leite diese dann durch Forward-Regeln an der Fritzbox zum Server weiter.

Da ich dies schon recht sicher finde, möchte ich aber zusätzlich noch fail2ban oder knockd einsetzen.


Welches der beiden Packages würdet ihr mir empfehlen???
(habe mal in einem thread hier gelesen, dass fail2ban wohl bugs hat und man es deshalb besser nicht einsetzen sollte....)


Danke,
Daniel
Oh, yeah!

suno
Beiträge: 354
Registriert: 25.07.2008 17:33:40

Re: fail2ban oder knockd

Beitrag von suno » 08.10.2008 16:30:57

Duff hat geschrieben: Da ich dies schon recht sicher finde, möchte ich aber zusätzlich noch fail2ban oder knockd einsetzen.
Das eine hat mit dem anderen nichts zu tun d.h. du kannst keines, eines der beiden oder alle beiden verwenden.

Die Frage was du nehmen sollst kannst du dir selbst beantworten wenn
- du deine Requirements kennst und
- verstehst was die beiden Kandidaten bieten

btw, jede software hatte irgendwann mal bugs ... im speziellen meinst du sicher den Bug wo fail2ban durch eine enorm hohe Zahl an Anfragen (eine Art von DoS) in die Knie ging; das ist gefixed ...

Ich verw. http://www.cipherdyne.org/fwknop/ ; ist imho viel besser als knockd

Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: fail2ban oder knockd

Beitrag von Duff » 08.10.2008 16:55:12

Sorry, habe da wohl irgendwie was verwechselt.

fail2ban: Sperrt IP-Adressen nach einer bestimmten Anzahl von Fehlerversuchen beim Login (habe ich mittels iptables mehr oder weniger gelöst).

knockd: Führt ein iptables INPUT ACCEPT aus, wenn ich mich mit dem client und der richtigen Sequence anmelde und ein iptables INPUT DROP aus, wenn ich mich wieder abmelde.


Das vorgestellte Tool von dir suno ist auch sehr interessant.
Danke.
Oh, yeah!

suno
Beiträge: 354
Registriert: 25.07.2008 17:33:40

Re: fail2ban oder knockd

Beitrag von suno » 08.10.2008 18:46:53

Duff hat geschrieben: Das vorgestellte Tool von dir suno ist auch sehr interessant.
ja, ist noch nicht so bekannt wie knockd aber dann ist die Technologie/Konzept wohl auch noch recht neu. Wenn du die technischen Fakten vergleichst wirst du sehen das dieses Konzept besser ist.

Was du auch noch ueberlegen kannst im Zusammenhang mit beiden
- ssh
- openvpn
ist der Einsatz von TCP wrappern. Einfach, stabil und sehr effektiv.

Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: fail2ban oder knockd

Beitrag von Duff » 08.10.2008 18:49:56

Danke, hört sich ebenfalls gut an.

Hast du gute Beispiele dazu. Habe mich nämlich mit TCP-Wrappern noch nie wirklich beschäftigt.
Oh, yeah!

Benutzeravatar
ckoepp
Beiträge: 1409
Registriert: 11.06.2005 20:11:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nähe Heidelberg

Re: fail2ban oder knockd

Beitrag von ckoepp » 08.10.2008 19:08:07

Das Thema hatten wir schon oft. Ich würde von fail2ban abraten - nicht wegen Bugs, sondern wegen der allgemeinen Funktionsweise. Logs anhand von regular Expressions durchforsten sollte ein No-Go sein.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway

Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: fail2ban oder knockd

Beitrag von Duff » 08.10.2008 19:15:09

Ja, ja. Meine ich auch, dass ich dies schon mal hier gesehen hatte.

Deshalb werde ich wohl weiterhin auf die iptables-Lösung zurück greifen.
Oh, yeah!

Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: fail2ban oder knockd

Beitrag von Duff » 08.10.2008 20:17:51

Versuche gerade mal den knockd zu testen (was ich dachte einfacher wäre).

Habe folgendes iptables-Skript.

Code: Alles auswählen

/etc/mysysconfig/iptables_reset.sh

IPT=$(which iptables)
[ -z $IPT ] && (echo "iptables cannot be found!";exit)

MODPROBE=$(which modprobe)
[ -z $MODPROBE ] && (echo "modprobe cannot be found!";exit) 

INET_IFACE=eth0			# IP-Adresse 192.168.2.98 
LAN_IFACE=eth1				# IP-Adresse 192.168.0.99
INET_IP="192.168.2.98"
LAN_IP="192.168.1.99"
INET_NET="192.168.2.0/24"
LAN_NET="192.168.1.0/24"
TUN_IFACE=tun0

$IPT -A INPUT -i $INET_IFACE -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPT -A INPUT -i $INET_IFACE -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
$IPT -A INPUT -i $INET_IFACE -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 4 --rttl --name SSH -j DROP
$IPT -A OUTPUT -o $INET_IFACE -p tcp --sport 22 -j ACCEPT


$IPT -A INPUT -i $LAN_IFACE -p tcp --dport 22 -j ACCEPT

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

$IPT -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -A INPUT -i $LAN_IFACE -p tcp -s $LAN_NET --dport 3128 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $INET_IFACE -m state --state NEW -j ACCEPT

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -N inetwall
$IPT -A inetwall -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A inetwall -m state --state NEW -i ! $INET_IFACE -j ACCEPT
$IPT -A inetwall -j DROP
$IPT -A INPUT -j inetwall
$IPT -A FORWARD -j inetwall



$IPT -A INPUT -i $INET_IFACE -j LOG --log-prefix "INET:"
$IPT -A FORWARD -j LOG --log-prefix "INET:"
Was muss ich nun in die /etc/knock.conf eintragen und hier ändern, damit weiterhin alles eingehende vom INET_IFACE geblockt wird, aber nach erfolgreicher Aktivierung des knockd ssh freigeschaltet wird.

Bekomme es nicht hin, wenn ich alles über eth0 blocken möchte.
Oh, yeah!


Antworten