Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Änderung 110391 von Dirkwagner (Diskussion) rückgängig gemacht.
Markierung: Rückgängigmachung
 
(79 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:fail2ban}}
'''fail2ban''' - Intrusion Prevention System
 
== Beschreibung ==
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban screenshot.jpg|mini]]
; Framework zur Vorbeugung gegen Einbrüche
'''fail2ban''' (sinngemäß „Fehlschlag führt zum Bann“) ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]'' (Framework zur Vorbeugung gegen Einbrüche), das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z.&nbsp;B. [[iptables]] unter Linux).<ref>[http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]</ref>
* [[Intrusion Prevention System]]
* [[Portable Operating System Interface|POSIX]]-Betriebssysteme
** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]]
 
; Hersteller
*  Cyril Jaquier, Arturo 'Buanzo' Busleiman
 
; Betriebssysteme
* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall
 
; Programmiersprache
* [[Python (Programmiersprache)|Python]]
 
; Lizenz
* [[GNU General Public License|GPL Version 2]] ([[freie Software]])
 
; Website
* http://www.fail2ban.org
 
== Funktionsweise ==
; [[IP-Adresse]]n blockieren
* die wahrscheinlich zu Angreifern gehören
* die sich Zugang zum System verschaffen wollen
 
; Log-File analyse
* /var/log/pwdfail
* /var/log/auth.log
* /var/log/apache2/error.log
 
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z.&nbsp;B.&nbsp;öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.


<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen.


{| class="wikitable sortable options"
=== Aktionen ===
|-
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde
! Option !! Beschreibung
* etwa diese IP mit einer Regel in ''iptables'' oder
|-
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
| Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
|-
| Version || 0.9.5
|-
| AktuelleVersionFreigabeDatum || 15. Juli 2016
|-
| Vorabversion || 0.10.0
|-
| Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
|-
| Programmiersprache || [[Python (Programmiersprache)|Python]]
|-
| Kategorie || [[Intrusion Prevention System]]
|-
| Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
|-
| Website || [http://www.fail2ban.org/ www.fail2ban.org]
|}


== Funktionalität ==
=== Filter  ===
; Der Hauptzweck von fail2ban ist das Bestimmen und Blockieren bestimmter [[IP-Adresse]]n, die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen.
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert
* fail2ban ermittelt aus Log-Dateien (u.&nbsp;a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z.&nbsp;B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen.
* die vom Administrator gut angepasst werden können


Fail2ban ist in der Lage, verschiedene Aktionen auszuführen, wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in ''iptables'' oder der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
; Standardfilter
* [[Apache HTTP Server|Apache]]
* [[Lighttpd]]
* [[OpenSSH|sshd]]
* [[vsftpd]]
* [[qmail]]
* [[Postfix (Mail Transfer Agent)|Postfix]]
* [[Courier Mail Server]]


Die Standardkonfiguration enthält Filter für [[Apache HTTP Server|Apache]], [[Lighttpd]], [[OpenSSH|sshd]], [[vsftpd]], [[qmail]], [[Postfix (Mail Transfer Agent)|Postfix]] und den [[Courier Mail Server]].
=== Jail ===
* Filter werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert, die vom Administrator gut angepasst werden können.
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
* Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet<ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
* ist in der Lage, bösartige Hosts zu blockieren.
 
; Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
* welche sich mit Regulären Ausdrücken auswerten lassen
* Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref>
* Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref>


== Siehe auch ==
<noinclude>
* [[Filter recidive]]
== Anhang ==
* [[DenyHosts]]
=== Siehe auch ===
* [[OSSEC]]
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
* [[Stockade (Software)]]


== Einzelnachweise ==
==== Links ====
<references />
==== Projekt ====
# http://www.fail2ban.org


[[Kategorie:Intrusion Detection/Prevention]]
===== Weblinks =====
[[Kategorie:Freie Software]]
# https://github.com/fail2ban/
[[Kategorie:Linux-Software]]
# http://www.fail2ban.org/


{{DISPLAYTITLE:fail2ban}}
{{DEFAULTSORT:fail2ban}}


{{DEFAULTSORT:fail2ban}}
[[Kategorie:Fail2ban]]
</noinclude>

Aktuelle Version vom 11. Oktober 2024, 09:11 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche
Hersteller
  • Cyril Jaquier, Arturo 'Buanzo' Busleiman
Betriebssysteme
Programmiersprache
Lizenz
Website

Funktionsweise

IP-Adressen blockieren
  • die wahrscheinlich zu Angreifern gehören
  • die sich Zugang zum System verschaffen wollen
Log-File analyse
  • /var/log/pwdfail
  • /var/log/auth.log
  • /var/log/apache2/error.log

IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.

[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde
  • etwa diese IP mit einer Regel in iptables oder
  • der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[3]

Filter

Werden durch reguläre Ausdrücke definiert
  • die vom Administrator gut angepasst werden können
Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
  • ist in der Lage, bösartige Hosts zu blockieren.
Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
  • welche sich mit Regulären Ausdrücken auswerten lassen
  • Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[4]


Anhang

Siehe auch

Links

Projekt

  1. http://www.fail2ban.org
Weblinks
  1. https://github.com/fail2ban/
  2. http://www.fail2ban.org/