[Eisfair] [eisfair-1/eisfair-2/eisxen] brute_force_blocking (BFB) 0.3.8 released

Raphael Gradenwitz raphael at gradenwitz.ath.cx
Mo Jan 2 18:05:15 CET 2012 

Hi Olaf,

Am 28.09.2011 14:06, schrieb Olaf Jaehrling:
> --- Original-Nachricht ---
> Absender: Raphael Gradenwitz
> Datum: 28.09.2011 03:50
>> Ich habe die neue Version installiert und die Installation blieb beim
>> Neustart des Dienstes hängen. Ich kann, nein ich muss leider erst mal
>> jedem davon abraten diese Version zu installieren!
> 
> Wow, weil bei dir ein Fehler auftritt empfiehlst du gleich allen das
> Paket nicht zu installieren. Respekt.
>

Ich stehe dazu. Noch immer!

>>
>> Das Init-Script ist so nicht in der Lage die IP-Tables-Regeln auf zu
>> räumen bzw. alle mögliche eventualitäten ab zu decken wie es für einen
>> Neustart des Dienstes nach dem Update nötig ist und geriet deshalb bei
>> mir in einer Endlos-Schleife!
>>
> ...
>>
>> Lieber Olaf, räume bitte (endlich) dein Code auf, es ist ein absolutes
>> Chaos und durcheinander. Baue es bitte moduliert(er) und lesbar.
> 
> Hm, das initscript ist im Wesentlichen von dir ...
> Ich habe 8unter anderm) nur einen weiteren iptables-Aufruf hinzugefügt.
> Das Grundgerüst ist aber von Dir 1:1 übernommen.
> 
> Modified:     08.04.2009  by rg

Soll ich dir nochmals zeigen wie es davor war?
Ich habe das was ich damals verbrochen habe noch hier im Original, davon
ist (zurecht) nicht mehr viel übrig. Erstens war das auch nur einen
Schritt in einer Richtung den du ruhig hättest weiter verfolgen können.
Du wolltest ja damals die Änderungen (die ich selber auch nicht als
'fertig' angesehen habe) übernehmen und hast dir wie es aussah Sorgen
gemacht das es einen Fork geben würde. Dann habe ich mich da auch weiter
raus gehalten. Du hast im Paket ausserdem jede Menge neue Funktionen
hinzu gefügt die natürlich jeweils eine neue Behandlung brauchen. Genau
dort sind nun Fehler rein geschlichen.
Ein paar Details habe ich dir in der dev-Mailingliste auf eisler
geschrieben. Wenn du möchtest kann ich die hier nochmals breit treten.

> Bei allen meine eisfair-Rechnern gab es keine Probleme
> Das Paket wurde bisher 39 mal installiert, von mir davon auf knapp 20
> eisfair und ich hatte keine Probleme mit einer iptables-schleife.

Warscheinlich immer mit den default-Werten. Stelle mal
BFB_MONITOR_PORTSCAN=no
und
BFB_BLOCK_PROACTIVE_FROM_ATMA=yes

da sind ganz neue Chains hinzugekommen. Damals gab es nur die BFB-Chain,
jetzt gibt es auch eine BFBBLOCK-Chain, die jedoch auf
grep "BFB"
identisch reagiert etc.

>> Ich möchte auch nicht unbedingt das iptables auf dem Host, sondern das
>> auf dem vorgelagerten fli4l blocken lassen aber so etwas ist schon gar
>> nicht, nicht mal ansatzweise vorgesehen und so wie das jetzt
>> strukturiert ist, muss ich da jedes Mal fast alles neu schreiben.
> 
> Wie soll ich das verstehen. BFB soll die iptables auf einem anderen
> Rechner/Server/Firewall/Router steuern? Nein, das ginge zu weit. Der Fli
> hat meines Wissen sehr gute Möglichkeiten das selbst zu übernehmen.

Eben. Und die klassischen Brute-Force Attacken auf ssh und MAIL z.B.
sollen wie sonst auch ruhig im Server selber detektiert werden und dann
zum Blocken an eine vorgelagerte Firewall, z.B. den fli4l, weitergegeben
werden können. Im Sine einer Netzweiten Lösung mit Nodes und eine
Firewall die gleich richtig nach Aussen hin abschottet. Teilweise läuft
das schon so bei mir.

>> Das Proaktive Blocking ...:
> 
> Du musst das ja bei BFB nicht aktivieren.

Natürlich MUSS ich das nicht aktivieren aber die Funktion wird doch
angeboten und hat durchaus den meiner Meinung nach richtigen Hintergedanken.

> Mit Netzmasken kann man recht schlecht arbeiten, wenn einzelne
> ip-Adressen in den Logfiles auftauchen.

Aber ich habe nichts über Netzmasken geschrieben, eher über netfilter.
Ich hatte pgl erwähnt, ein gerade in letzter Zeit enorm aktiv
betriebenes und sehr gut ausgereiftes Projekt:

PeerGuardian Linux (pgl) is a privacy oriented firewall application. It
blocks connections to and from hosts specified in huge blocklists
(thousands or millions of IP ranges). pgl is based on the Linux kernel
netfilter framework and iptables.

You can get it at http://sourceforge.net/projects/peerguardian/

Klar. Das läuft auch ohne Brute Force Blocking 'out of the box'.

Liebe Grüße,

Raphael Gradenwitz

Mehr Informationen über die Mailingliste Eisfair