Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Änderung 110391 von Dirkwagner (Diskussion) rückgängig gemacht.
Markierung: Rückgängigmachung
 
(78 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:fail2ban}}
'''fail2ban''' - Intrusion Prevention System
 
== Beschreibung ==
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban screenshot.jpg|mini]]
; Framework zur Vorbeugung gegen Einbrüche
'''fail2ban''' (sinngemäß „Fehlschlag führt zum Bann“) ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]'' (Framework zur Vorbeugung gegen Einbrüche), das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z.&nbsp;B. [[iptables]] unter Linux).<ref>[http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]</ref>
* [[Intrusion Prevention System]]
* [[Portable Operating System Interface|POSIX]]-Betriebssysteme
** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]]
 
; Hersteller
*  Cyril Jaquier, Arturo 'Buanzo' Busleiman
 
; Betriebssysteme
* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall
 
; Programmiersprache
* [[Python (Programmiersprache)|Python]]
 
; Lizenz
* [[GNU General Public License|GPL Version 2]] ([[freie Software]])
 
; Website
* http://www.fail2ban.org
 
== Funktionsweise ==
; [[IP-Adresse]]n blockieren
* die wahrscheinlich zu Angreifern gehören
* die sich Zugang zum System verschaffen wollen
 
; Log-File analyse
* /var/log/pwdfail
* /var/log/auth.log
* /var/log/apache2/error.log
 
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z.&nbsp;B.&nbsp;öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.


<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen.


{| class="wikitable sortable options"
=== Aktionen ===
|-
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde
! Option !! Beschreibung
* etwa diese IP mit einer Regel in ''iptables'' oder
|-
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
| Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
|-
| Version || 0.9.5
|-
| AktuelleVersionFreigabeDatum || 15. Juli 2016
|-
| Vorabversion || 0.10.0
|-
| Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
|-
| Programmiersprache || [[Python (Programmiersprache)|Python]]
|-
| Kategorie || [[Intrusion Prevention System]]
|-
| Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
|-
| Website || [http://www.fail2ban.org/ www.fail2ban.org]
|}


== Funktionalität ==
=== Filter  ===
; Der Hauptzweck von fail2ban ist das Bestimmen und Blockieren bestimmter [[IP-Adresse]]n, die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen.
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert
* fail2ban ermittelt aus Log-Dateien (u.&nbsp;a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z.&nbsp;B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen.
* die vom Administrator gut angepasst werden können


; Fail2ban ist in der Lage, verschiedene Aktionen auszuführen
; Standardfilter
* wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in ''iptables'' oder der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
* [[Apache HTTP Server|Apache]]
* [[Lighttpd]]
* [[OpenSSH|sshd]]
* [[vsftpd]]
* [[qmail]]
* [[Postfix (Mail Transfer Agent)|Postfix]]
* [[Courier Mail Server]]


; Die Standardkonfiguration enthält Filter für [[Apache HTTP Server|Apache]], [[Lighttpd]], [[OpenSSH|sshd]], [[vsftpd]], [[qmail]], [[Postfix (Mail Transfer Agent)|Postfix]] und den [[Courier Mail Server]].
=== Jail ===
* Filter werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert, die vom Administrator gut angepasst werden können.
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
* Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet<ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
* ist in der Lage, bösartige Hosts zu blockieren.
 
; Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
* welche sich mit Regulären Ausdrücken auswerten lassen
* Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref>
* Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref>


== Siehe auch ==
<noinclude>
* [[Filter recidive]]
== Anhang ==
* [[DenyHosts]]
=== Siehe auch ===
* [[OSSEC]]
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
* [[Stockade (Software)]]


== Einzelnachweise ==
==== Links ====
<references />
==== Projekt ====
# http://www.fail2ban.org


[[Kategorie:Intrusion Detection/Prevention]]
===== Weblinks =====
[[Kategorie:Freie Software]]
# https://github.com/fail2ban/
[[Kategorie:Linux-Software]]
# http://www.fail2ban.org/


{{DISPLAYTITLE:fail2ban}}
{{DEFAULTSORT:fail2ban}}


{{DEFAULTSORT:fail2ban}}
[[Kategorie:Fail2ban]]
</noinclude>

Aktuelle Version vom 11. Oktober 2024, 09:11 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche
Hersteller
  • Cyril Jaquier, Arturo 'Buanzo' Busleiman
Betriebssysteme
Programmiersprache
Lizenz
Website

Funktionsweise

IP-Adressen blockieren
  • die wahrscheinlich zu Angreifern gehören
  • die sich Zugang zum System verschaffen wollen
Log-File analyse
  • /var/log/pwdfail
  • /var/log/auth.log
  • /var/log/apache2/error.log

IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.

[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde
  • etwa diese IP mit einer Regel in iptables oder
  • der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[3]

Filter

Werden durch reguläre Ausdrücke definiert
  • die vom Administrator gut angepasst werden können
Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
  • ist in der Lage, bösartige Hosts zu blockieren.
Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
  • welche sich mit Regulären Ausdrücken auswerten lassen
  • Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[4]


Anhang

Siehe auch

Links

Projekt

  1. http://www.fail2ban.org
Weblinks
  1. https://github.com/fail2ban/
  2. http://www.fail2ban.org/