[Eisfair] E1/E64 brute_force_blocking (BFB) 1.0.14 testing released

Kay Martinen usenet at martinen.de
Sa Jun 20 23:10:03 CEST 2020 

Am 20.06.20 um 22:26 schrieb Olaf Jaehrling:
> 
> Kay Martinen schrieb am 20.06.20 um 21:46:
>> Hallo Olaf.
>>
>> Ich hab da mal grundsätzliche Fragen zu BfB denn ich wollte es neulich
>> testen, fand es leider erst nicht und nun ist das erst mal obsolet weil
>> sich anderes geändert hat.
> 
> Was hat sich denn geändert so dass du es nicht mehr einsetzen kannst?

Ich hatte eine VM mit leafnode im Zwischennetz von Providerrouter und
Internem Router und dachte die mit BfB zusätzlich absichern zu können.
Ich hatte aber die dazu nötige Eislist nicht eingetragen und als ich das
später hatte und feststellte das ca. ein dutzend weitere pakete nötige
werden ließ ich es erst mal bleiben. Und dann stellte sich raus das es
mit leafnode dort bestenfalls unpraktisch ist weil ich nicht auch noch
ein mailsystem drauf setzen wollte und ssmtp nicht wollte wie ich
dachte, nicht deinstallierbar war und msmtp drum nicht testbar war.
Darum hatte ich auch nicht mehr weiter in eine Doku geschaut.

>>
>> Am 18.06.20 um 23:43 schrieb Olaf Jaehrling:
>>>
> Korrekt. BFB blockiert Angreifer-IP's aus dem Internet in Richtung EIS.
> Es gibt aber auch User, die eine Linux/fli4l-Firewall davor haben und
> die IP dort schon gern blocken möchten, was auch durchaus Sinn macht.

> BFB_MONITOR_BOT_ATTACK
>    Soll BFB auch auf SSH-Attacken von einem BOT-Net aus ueberwachen?
>    Das bedeutet, dass die brute-force-attacke nicht mehr von einer einzelnen
>    IP-Adresse kommt, sondern zeitgleich von mehrere Adressen, so dass das
>    sperren einer einzelnen IP-Adresse nicht moeglich ist, bzw. keine Erfolg
>    bringen wuerde.
>    Deshalb wird beim Detektieren von BFB_MONITOR_BOT_ATTACK_ATTEMPTS
>    fehlerhaften Login versuchen der komplette SSH-Port gesperrt.

Das war die eigentliche Frage die ich eingangs vergaß. Es wirkte so als
ob BfB mit irgendwelchen Externen Diensten verbunden wäre, diese nutzt
oder von dort daten bezieht? Ich meine außer dns oder whois oder so.

Dann kommuniziert BfB nicht mit Externen Diensten - außer evtl. dem
Paketfilter eines FLI der davor läge (ist bei mir nicht möglich)?


>>> - Fehler beim Erstellen der html-Dateien (ipv6) gehoben
>>
>> Gibt es ein Webinterface für BfB? Oder ist damit das regeltabellen
>> speichern in html gemeint?
> 
> Das betrifft die Variable BFB_REQUEST_BLOCKS_VIA_WEBSERVER.
> Hier kann man über ein Webinterface sehen welche IP-Adressen geblockt
> sind und weshalb.

BfB erstellt die Seite? Apache nötig oder geht auch mini_httpd?
Letzteren verwende ich lieber wenn ich keinen sonstigen Webdienst auf
einem EIS brauche.


>>> - Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
>>>   die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
> 
> Auch hier die Doku:
> BFB_SEND_ATTACKER_TO_TWITTER
> Sendet Angreifer-IP, angegriffenen Servic und die Uhrzeit an den
> Twitteraccount http://twitter.com/EIS_BFB damit BFB diese bei allen anderen
> Usern proaktiv blocken kann. Das atma.es script ruft diese Daten ab und

> gesperrt wird wenn er BFB_BLOCK_PROACTIVE_FROM_ATMA aktiviert hat. Der
> Begriff atma resultiert aus meinen 1.Versuchen damit und befragte (mit
> Genehmigung) den Twitteraccount von atma_es.

Oh, okay. Avast u.a. würden das wohl schon Cloud oder Sharing benamsen.
Okay. Hätte ich nicht erwartet. Erweitertes Feature das ich nicht nutzen
muß. Info an (m)einem Telegram-account wäre mir eher als Sinnvolle
Erweitertung eingefallen.

>> Mir ist allerdings mal aufgefallen das noch etliche weitere tools für
>> BfB nötig sind. Das fand ich unerwartet weil ich glaubte das sei ein
>> Tool das schlicht IPs und Ports sperrt von denen mehrfach unerwünschte
>> verbindungsanfragen kämen. 

> Welche Tools? BFB benötigt nur iptables/nftables, ipcalc,  binutils, ein
> mailprogramm und einen Textbrowser. Mehr nicht. Wenn die Liste länger
> ist, ist das eine Abhängigkeit eines dieser Programme. Da habe ich
> keinen Einfluss drauf.

Das die Liste von vorher schon installiertem abhängt ist soweit klar.

Ich mache da immer wieder den Fehler bei einer längeren Liste zu stutzen
und mich zu fragen "was, wie, wozu diese ganzen libs und tool xyz" und
dann davor zurück schrecke es zu installieren.

S.o. Mail ist auf o.h. z.B. nicht installiert und die Alternativen
funktionierten nicht. Drum ist die VM jetzt auch nicht mehr aktiv.

Und, ja Detlef. Ich hätte die Doku lesen sollen, vermutete aber das ich
selbst danach noch die gleichen Fragen gehabt hätte. Wie die nach
Nutzung Externer Dienste (als Datenquellen für BfB!).

Kay

-- 
Posted via leafnode

Mehr Informationen über die Mailingliste Eisfair