|
|
| (92 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| {{DISPLAYTITLE:fail2ban}}
| | '''fail2ban''' - [[Intrusion Prevention System]] |
| [[Datei:Fail2ban logo.png|mini]]
| | |
| [[Datei:Fail2ban screenshot.jpg|mini]]
| | == Beschreibung == |
| '''fail2ban''' (sinngemäß „Fehlschlag führt zum Bann“) ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]'' (Framework zur Vorbeugung gegen Einbrüche), das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z. B. [[iptables]] unter Linux).<ref>[http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]</ref> | | Framework zur Vorbeugung gegen [[Einbrüche]] |
| | |
| | ; Betriebssysteme |
| | * [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall |
| | |
| | ; Programmiersprache |
| | * [[Python (Programmiersprache)|Python]] |
| | |
| | ; Lizenz |
| | * [[GNU General Public License|GPL Version 2]] ([[freie Software]]) |
| | |
| | == Funktionsweise == |
| | ; [[IP-Adresse]]n blockieren |
| | * die wahrscheinlich zu Angreifern gehören |
| | * die sich Zugang verschaffen wollen |
|
| |
|
| | ; Log-File analyse |
| | * /var/log/pwdfail |
| | * /var/log/auth.log |
| | * /var/log/apache2/error.log |
|
| |
|
| {| class="wikitable sortable options"
| | ; IP-Adressen |
| |-
| | * die in einem vom Administrator angesetzten Zeitrahmen |
| ! Option !! Beschreibung
| | * beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden |
| |-
| | * oder andere gefährliche |
| | Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
| | * oder sinnlose Aktionen ausführen |
| |-
| |
| | Version || 0.9.5
| |
| |-
| |
| | AktuelleVersionFreigabeDatum || 15. Juli 2016
| |
| |-
| |
| | Vorabversion || 0.10.0
| |
| |-
| |
| | Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
| |
| |-
| |
| | Programmiersprache || [[Python (Programmiersprache)|Python]]
| |
| |-
| |
| | Kategorie || [[Intrusion Prevention System]]
| |
| |-
| |
| | Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
| |
| |-
| |
| | Website || [http://www.fail2ban.org/ www.fail2ban.org]
| |
| |}
| |
|
| |
|
| == Funktionalität ==
| | ; Normalerweise ist fail2ban so konfiguriert |
| ; Bestimmen und Blockieren bestimmter [[IP-Adresse]]n
| | * dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt |
| * Hauptzweck von fail2ban
| | * um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). |
| * die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen
| | * Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen |
| * fail2ban ermittelt aus Log-Dateien (u. a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen.
| |
|
| |
|
| ; Fail2ban ist in der Lage, verschiedene Aktionen auszuführen
| | === Aktionen === |
| * wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in ''iptables'' oder der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
| | ; Wenn eine wahrscheinlich bösartige IP entdeckt wurde |
| | * etwa diese IP mit einer Regel in ''iptables'' oder |
| | * der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann |
| | === Filter === |
| | ; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert |
| | * die gut angepasst werden können |
|
| |
|
| ; Standardkonfiguration | | ; Standardfilter |
| Die Standardkonfiguration enthält Filter für
| |
| * [[Apache HTTP Server|Apache]] | | * [[Apache HTTP Server|Apache]] |
| * [[Lighttpd]] | | * [[Lighttpd]] |
| Zeile 47: |
Zeile 51: |
| * [[Courier Mail Server]] | | * [[Courier Mail Server]] |
|
| |
|
| ; Filter werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert | | === Jail === |
| * die vom Administrator gut angepasst werden können.
| | ; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet |
| * Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet<ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
| | * ist in der Lage, bösartige Hosts zu blockieren |
| * Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref> | | |
| | ; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt |
| | * welche sich mit regulären Ausdrücken auswerten lassen |
| | * Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert |
|
| |
|
| == Siehe auch ==
| | <noinclude> |
| * [[Filter recidive]]
| |
| * [[DenyHosts]]
| |
| * [[OSSEC]]
| |
| * [[Stockade (Software)]]
| |
|
| |
|
| == Einzelnachweise == | | == Anhang == |
| <references />
| | === Siehe auch === |
| | {{Special:PrefixIndex/{{BASEPAGENAME}}/}} |
|
| |
|
| [[Kategorie:Intrusion Detection/Prevention]]
| | === Links === |
| [[Kategorie:Freie Software]]
| | ==== Projekt ==== |
| [[Kategorie:Linux-Software]]
| | # https://www.fail2ban.org |
|
| |
|
| | ==== Weblinks ==== |
| | # https://github.com/fail2ban/ |
| | # https://www.fail2ban.org/ |
|
| |
|
| | {{DISPLAYTITLE:fail2ban}} |
| {{DEFAULTSORT:fail2ban}} | | {{DEFAULTSORT:fail2ban}} |
| | |
| | [[Kategorie:Fail2ban]] |
| | </noinclude> |
fail2ban - Intrusion Prevention System
Beschreibung
Framework zur Vorbeugung gegen Einbrüche
- Betriebssysteme
- Programmiersprache
- Lizenz
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
- IP-Adressen
- die in einem vom Administrator angesetzten Zeitrahmen
- beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
- oder andere gefährliche
- oder sinnlose Aktionen ausführen
- Normalerweise ist fail2ban so konfiguriert
- dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
- um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
- Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann
Filter
- Werden durch reguläre Ausdrücke definiert
- die gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren
- Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert
Anhang
Siehe auch
Links
Projekt
- https://www.fail2ban.org
Weblinks
- https://github.com/fail2ban/
- https://www.fail2ban.org/