[Eisfair] IPs aus darklist aussperren? geht das?

Olaf Jaehrling eisfair at ojaehrling.de
Fr Jan 13 17:38:26 CET 2017 

Hallo ihr zwei,

Juergen Edner schrieb am 13.01.2017 um 15:22:
> Hallo Jens,
> 
>> Gibt es eine Möglichkeit, anhand der Liste automatisch die gelisteten IP
>> Adreesen vom Zugriff auszusperren
>>
>> http://www.darklist.de/raw.php
>>
>> Grund für meine Anfrage - unerwünschte Zugriffversuche - siehe unten
> 
> spontan würde ich hier auf das brute_force_blocking-Paket tippen
> welches auf Basis von festgestellten Einbruchsaktionen Zugriffe
> von bestimmten IP-Adressen blockiert.
> Falls diese Funktion nicht schon im Paket enthalten ist, kann
> Olaf Jaehrling diese vielleicht kurzfristig einrichten. Ein
> solcher Service würde mich nämlich ebenfalls interessieren ;-)

Jupp, das geht, wenn ihr eine Idee habt immer her damit.
Zur Zeit werden über die proaktiv-Funktion des Paketes
(BFB_BLOCK_PROACTIVE_FROM_ATMA) folgende Twitter mit ausgewertet.
- olaf_j -> eigene Liste
- EIS_BFB -> von eisfair-usern aktuallisierte Liste via
BFB_SEND_ATTACKER_TO_TWITTER
- HoneyPyLog
- atma_es -> Namensgeber der Funktion :)


Mit unterschiedlicher Prio und unterschiedlicher Zeitabfrage, da bei
einigen die Liste extrem stark wächst und die iptables-liste wahnsinnig
lang wird.

Die Liste auf http://www.darklist.de/raw.php ist aber auch sehr lang.
Ich weis, dass mit solchen Listen einige Server Probleme haben. Deshalb
habe ich intern einen Check laufen, der mich warnt wenn die ATMA
(proaktiv)-List 400 und mehr Einträge enthält.

Natürlich könnte ich jede proaktive Liste einzeln in die Konfig
aufnehmen, aber das würde die eh schon riesige Konfiguration noch mehr
aufblähen.

Die darklist-Liste scheint ja recht gut gepflegt zu werden. Ich könnte
mir vorstellen einen Schalter in der Konfig mit einzubauen, wenn
Proaktiv=ja, dann Variable sichtbar für "Nutze auch darklist" ja/nein.
Damit könnte dann jeder user, seinen Gegebenheiten entsprechend, das
selbst entscheiden. Zu bedenken gebe ich auch, dass in der Liste
stellenweise sogar /24 Netze drin stehen. Das würde ich dann aber
herausfiltern, da das meiner Meinung nach der falsche Ansatz ist und
unschuldige treffen könnte.
Bsp. 107.183.158.0/24
Direct Allocation in den USA. Würde also alle Kunden/Firmen der Firma
Enzu treffen, welche diesen Adressbereich zugewiesen bekommen haben. Und
das evtl. nur weil es in diesem Netz auch ein paar Spinner gibt.

Das hier finde ich auch lustig. :)
116.31.116.0/24
116.31.116.32/27

Aber zurück zum Thema.
Habt ihr eine Idee, wie ich die Variable nennen könnte, damit der User
nicht irritiert wird und denkt er muss die Variable nutzen damit das
überhaupt geht?

Nebenbei gibt es noch das Paket block_complete_network (BCN) mit dem man
komplette Länder sperren kann. Damit könnte man China usw. komplett
sperren. Dieses Paket befindet sich gerade in der Umbauphase, da ich
eine Möglichkeit mit einbauen will bestimmte Port trotzdem
freizuschalten. Macht gerade bei Mailserver Sinn wenn man z.Bsp. Honkong
sperrt, aber bei ebay was aus Honkong ersteigert hat und die Mail dann
aus Honkong nicht ankommen würde.

Wobei mir das gerade eine Idee kommt. Eigentlich ist der Name BCN hier
falsch. Es müsste block_complete_Country (BCC) heißen und bei BCN könnte
man wirklich komplette Netze eintragen, die dann über solche Listen wie
darklist gespeißt wird. Oder ich baue das in das BCN-Paket mit ein. Das
lasse ich mir nochmal durch den Kopf gehen. :)

Gruß

Olaf


> 
> Gruß Jürgen
>

Mehr Informationen über die Mailingliste Eisfair