[Eisfair] E1/E64 brute_force_blocking (BFB) 1.0.14 testing released

Olaf Jaehrling eisfair at ojaehrling.de
Sa Jun 20 22:26:10 CEST 2020 

Hallo Kay,

Kay Martinen schrieb am 20.06.20 um 21:46:
> Hallo Olaf.
> 
> Ich hab da mal grundsätzliche Fragen zu BfB denn ich wollte es neulich
> testen, fand es leider erst nicht und nun ist das erst mal obsolet weil
> sich anderes geändert hat.

Was hat sich denn geändert so dass du es nicht mehr einsetzen kannst?

> 
> Am 18.06.20 um 23:43 schrieb Olaf Jaehrling:
>>
>> Hier die changes:
>> - nftables-support hinzugefuegt
>> - Achtung. Die Funktion nftables konnte ich nicht auf einem Remotesystem
>> testen
> 
> Ich dachte BfB blockiert auf einem Eisfair zuhause IP aus dem Internet
> z.b. wenn er in einer DMZ säße. Oder geht es hierbei um das Durchlassen
> einer ssh verbindung von einer Dialin IP - auf einem EIS der direkt im
> Internet hinge?

Korrekt. BFB blockiert Angreifer-IP's aus dem Internet in Richtung EIS.
Es gibt aber auch User, die eine Linux/fli4l-Firewall davor haben und
die IP dort schon gern blocken möchten, was auch durchaus Sinn macht.

> 
>> - BFB_BOT_FREE_IP_NET_V6 hizugefuegt. Damit kann nun auch ein ipv6
>>   Netz auf die whitelist.
> 
> Bot? Ich verstehe nicht worum es da gehen könnte?
Lt Doku:
BFB_MONITOR_BOT_ATTACK
   Soll BFB auch auf SSH-Attacken von einem BOT-Net aus ueberwachen?
   Das bedeutet, dass die brute-force-attacke nicht mehr von einer einzelnen
   IP-Adresse kommt, sondern zeitgleich von mehrere Adressen, so dass das
   sperren einer einzelnen IP-Adresse nicht moeglich ist, bzw. keine Erfolg
   bringen wuerde.
   Deshalb wird beim Detektieren von BFB_MONITOR_BOT_ATTACK_ATTEMPTS
   fehlerhaften Login versuchen der komplette SSH-Port gesperrt.
   Damit man sich trotzdem einloggen kann, kann man eine IP-Range bzw.
   einzelne IPs eintragen, welche weiterhin Zugang haben.

> 
>> - Fehler beim Erstellen der html-Dateien (ipv6) gehoben
> 
> Gibt es ein Webinterface für BfB? Oder ist damit das regeltabellen
> speichern in html gemeint?

Das betrifft die Variable BFB_REQUEST_BLOCKS_VIA_WEBSERVER.
Hier kann man über ein Webinterface sehen welche IP-Adressen geblockt
sind und weshalb.

> 
>> - ipv4toipv6-Adressen (::ffff:) werden fuer BFB in richtige ipv4 umgewandelt
>> - Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
>>   die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
> 
> Hier fehlt mir der Zusammenhang was Twitter (das ich nicht nutze) damit
> zu tun hat.

Auch hier die Doku:
BFB_SEND_ATTACKER_TO_TWITTER
Sendet Angreifer-IP, angegriffenen Servic und die Uhrzeit an den
Twitteraccount http://twitter.com/EIS_BFB damit BFB diese bei allen anderen
Usern proaktiv blocken kann. Das atma.es script ruft diese Daten ab und
blockiert die IP's schon bevor der Hacker einen Angriff auf den eigenen
Server
startet.

Für die Proaktiv-Funktion wird(wurde) dieser und auch noch andere
Twitteraccounts per commandlinebrowser abgefragt und die IP-Adressen
proaktiv gesperrt.
Wenn du diese Funktion eingeschaltet hast sendet BFB einen festgelegten
Text an den o.g. Account. Das nutzen einige Nutzer und einige nicht.
Jeder wie er gerne möchte.
Fakt ist wenn du das aktiviert hast und von der ip-Adresse 266.266.266.2
(ich weiß, gibbet nicht) angeriffen wirst sendest du das an diesen
Account und ein anderes User profitiert davon weil diese IP bei ihm auch
gesperrt wird wenn er BFB_BLOCK_PROACTIVE_FROM_ATMA aktiviert hat. Der
Begriff atma resultiert aus meinen 1.Versuchen damit und befragte (mit
Genehmigung) den Twitteraccount von atma_es.
Mit links, lynx, wget oder curl lässt sich twitter aber leider nicht
mehr abfragen weil nur noch javascript erlaubt ist. Probiere es aus:
lynx/links/curl https://twitter.com/EIS_BFB.

>
> 
>>   Dieser wird online per ttytter abgefragt und die Liste als txt-file
>>   bereitgestellt. Die txt gab es aber auch schon vorher
>>
>> Feedback, Anregungen und Kritiken bitte hier in der NG/Forum.
> 
> Mir ist allerdings mal aufgefallen das noch etliche weitere tools für
> BfB nötig sind. Das fand ich unerwartet weil ich glaubte das sei ein
> Tool das schlicht IPs und Ports sperrt von denen mehrfach unerwünschte
> verbindungsanfragen kämen. Wie da Bots(?) Twitter und html rein passen
> erschließt sich mir nicht. IMHO auch nicht aus der Beschreibung.

Welche Tools? BFB benötigt nur iptables/nftables, ipcalc,  binutils, ein
mailprogramm und einen Textbrowser. Mehr nicht. Wenn die Liste länger
ist, ist das eine Abhängigkeit eines dieser Programme. Da habe ich
keinen Einfluss drauf.


Gruß

Olaf



> 
> 
> Kay
>

Mehr Informationen über die Mailingliste Eisfair