[Eisfair] [eisfair-1/eisfair-2/eisxen] brute_force_blocking (BFB) 0.3.8 released

Olaf Jaehrling eisfair at ojaehrling.de
Mo Jan 2 18:05:15 CET 2012 

Hallo Raphael,

--- Original-Nachricht ---
Absender: Raphael Gradenwitz
Datum: 28.09.2011 16:35

>> Hm, das initscript ist im Wesentlichen von dir ...
>> Ich habe 8unter anderm) nur einen weiteren iptables-Aufruf hinzugefügt.
>> Das Grundgerüst ist aber von Dir 1:1 übernommen.
>>
>> Modified:     08.04.2009  by rg
> 
> Soll ich dir nochmals zeigen wie es davor war?

Brauchst Du nicht, habe ich noch hier :)

> Ich habe das was ich damals verbrochen habe noch hier im Original, davon
> ist (zurecht) nicht mehr viel übrig. 
> raus gehalten. Du hast im Paket ausserdem jede Menge neue Funktionen
> hinzu gefügt die natürlich jeweils eine neue Behandlung brauchen. Genau
> dort sind nun Fehler rein geschlichen.
> Ein paar Details habe ich dir in der dev-Mailingliste auf eisler

Hab ich gelesen und schaue mir das auch gleich noch an.


> 
> Warscheinlich immer mit den default-Werten. Stelle mal
> BFB_MONITOR_PORTSCAN=no
> und
> BFB_BLOCK_PROACTIVE_FROM_ATMA=yes

OK, dieses Konstrukt habe ich hier nirgends laufen. Werde ich austesten.

>
> 
> Eben. Und die klassischen Brute-Force Attacken auf ssh und MAIL z.B.
> sollen wie sonst auch ruhig im Server selber detektiert werden und dann
> zum Blocken an eine vorgelagerte Firewall, z.B. den fli4l, weitergegeben
> werden können. Im Sine einer Netzweiten Lösung mit Nodes und eine
> Firewall die gleich richtig nach Aussen hin abschottet. Teilweise läuft
> das schon so bei mir.

Wie stellst Du dir das vor? Per SNMP? Wäre das nicht ein wenig overload?
Wie hast Du das gelöst? Die Idee finde ich ja gut, aber ob das
praktikabel ist weiß ich nicht.


> 
> Aber ich habe nichts über Netzmasken geschrieben, eher über netfilter.
> Ich hatte pgl erwähnt, ein gerade in letzter Zeit enorm aktiv
> betriebenes und sehr gut ausgereiftes Projekt:

Hm, das ist eine Baustelle, die ich mir auch mal angucken könnte.
Netfilter als solche kann man ja einbauen.

>
> 
> Klar. Das läuft auch ohne Brute Force Blocking 'out of the box'.

Genau so würde ich mir das auch vorstellen. Bei einigen Projekten läuft
ja auch z.B. fail2ban parallel.

> 
> Liebe Grüße,
> 
> Raphael Gradenwitz

Danke erstmal für die Kritik, aber bedenke, der Ton spielt immer eine
Rolle. In der dev-Liste hast Du das alles freundlicher geschrieben.

Lieben Gruß

Olaf

Mehr Informationen über die Mailingliste Eisfair