|
|
| (100 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| {{DISPLAYTITLE:fail2ban}}
| | '''fail2ban''' - [[Intrusion Prevention System]] |
| = Wikipedia =
| | |
| '''Fail2ban''' (sinngemäß „Fehlschlag führt zum Bann“) ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]'' (Framework zur Vorbeugung gegen Einbrüche), das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z. B. [[iptables]] unter Linux).<ref>[http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]</ref> | | == Beschreibung == |
| | Framework zur Vorbeugung gegen [[Einbrüche]] |
| | |
| | ; Betriebssysteme |
| | * [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall |
| | |
| | ; Programmiersprache |
| | * [[Python (Programmiersprache)|Python]] |
| | |
| | ; Lizenz |
| | * [[GNU General Public License|GPL Version 2]] ([[freie Software]]) |
| | |
| | == Funktionsweise == |
| | ; [[IP-Adresse]]n blockieren |
| | * die wahrscheinlich zu Angreifern gehören |
| | * die sich Zugang verschaffen wollen |
| | |
| | ; Log-File analyse |
| | * /var/log/pwdfail |
| | * /var/log/auth.log |
| | * /var/log/apache2/error.log |
| | |
| | ; IP-Adressen |
| | * die in einem vom Administrator angesetzten Zeitrahmen |
| | * beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden |
| | * oder andere gefährliche |
| | * oder sinnlose Aktionen ausführen |
| | |
| | ; Normalerweise ist fail2ban so konfiguriert |
| | * dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt |
| | * um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). |
| | * Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen |
|
| |
|
| | Name = Fail2Ban
| | === Aktionen === |
| | Logo = [[Datei:Fail2ban logo.png]]
| | ; Wenn eine wahrscheinlich bösartige IP entdeckt wurde |
| | Screenshot = [[Datei:Fail2ban screenshot.jpg|200px]]
| | * etwa diese IP mit einer Regel in ''iptables'' oder |
| | Hersteller = Cyril Jaquier, Arturo 'Buanzo' Busleiman
| | * der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann |
| | Version = 0.9.5
| | === Filter === |
| | AktuelleVersionFreigabeDatum = 15. Juli 2016
| | ; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert |
| | Vorabversion = 0.10.0
| | * die gut angepasst werden können |
| | Betriebssystem = [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
| |
| | Programmiersprache = [[Python (Programmiersprache)|Python]]
| |
| | Kategorie = [[Intrusion Prevention System]]
| |
| | Lizenz = [[GNU General Public License|GPL Version 2]] ([[freie Software]])
| |
| | Website = [http://www.fail2ban.org/ www.fail2ban.org]
| |
|
| |
|
| == Funktionalität ==
| | ; Standardfilter |
| Der Hauptzweck von fail2ban ist das Bestimmen und Blockieren bestimmter [[IP-Adresse]]n, die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen.
| | * [[Apache HTTP Server|Apache]] |
| * fail2ban ermittelt aus Log-Dateien (u. a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen. | | * [[Lighttpd]] |
| | * [[OpenSSH|sshd]] |
| | * [[vsftpd]] |
| | * [[qmail]] |
| | * [[Postfix (Mail Transfer Agent)|Postfix]] |
| | * [[Courier Mail Server]] |
|
| |
|
| Fail2ban ist in der Lage, verschiedene Aktionen auszuführen, wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in ''iptables'' oder der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
| | === Jail === |
| | ; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet |
| | * ist in der Lage, bösartige Hosts zu blockieren |
|
| |
|
| Die Standardkonfiguration enthält Filter für [[Apache HTTP Server|Apache]], [[Lighttpd]], [[OpenSSH|sshd]], [[vsftpd]], [[qmail]], [[Postfix (Mail Transfer Agent)|Postfix]] und den [[Courier Mail Server]].
| | ; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt |
| * Filter werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert, die vom Administrator gut angepasst werden können.
| | * welche sich mit regulären Ausdrücken auswerten lassen |
| * Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet<ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
| | * Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert |
| * Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref> | |
|
| |
|
| == Siehe auch ==
| | <noinclude> |
| * [[Filter recidive]]
| |
| * [[DenyHosts]]
| |
| * [[OSSEC]]
| |
| * [[Stockade (Software)]]
| |
|
| |
|
| == Einzelnachweise == | | == Anhang == |
| <references />
| | === Siehe auch === |
| | {{Special:PrefixIndex/{{BASEPAGENAME}}/}} |
|
| |
|
| [[Kategorie:Intrusion Detection/Prevention]]
| | === Links === |
| [[Kategorie:Freie Software]]
| | ==== Projekt ==== |
| [[Kategorie:Linux-Software]]
| | # https://www.fail2ban.org |
|
| |
|
| | ==== Weblinks ==== |
| | # https://github.com/fail2ban/ |
| | # https://www.fail2ban.org/ |
|
| |
|
| | {{DISPLAYTITLE:fail2ban}} |
| {{DEFAULTSORT:fail2ban}} | | {{DEFAULTSORT:fail2ban}} |
| | |
| | [[Kategorie:Fail2ban]] |
| | </noinclude> |
fail2ban - Intrusion Prevention System
Beschreibung
Framework zur Vorbeugung gegen Einbrüche
- Betriebssysteme
- Programmiersprache
- Lizenz
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
- IP-Adressen
- die in einem vom Administrator angesetzten Zeitrahmen
- beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
- oder andere gefährliche
- oder sinnlose Aktionen ausführen
- Normalerweise ist fail2ban so konfiguriert
- dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
- um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
- Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann
Filter
- Werden durch reguläre Ausdrücke definiert
- die gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren
- Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert
Anhang
Siehe auch
Links
Projekt
- https://www.fail2ban.org
Weblinks
- https://github.com/fail2ban/
- https://www.fail2ban.org/