debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

Firewall blocken nach Anmeldedaten

https://debianforum.de/forum/viewtopic.php?t=170262

Seite 1 von 1

Firewall blocken nach Anmeldedaten

Verfasst: 12.07.2018 16:37:21
von weshalb
Hallo, ich benutze fail2ban und überlege gerade, ob es wohl Möglichkeiten gibt, beim Blocken lediglich nur die betreffenden falschen Anmeldeversuche zu sperren.

Sitzen mehrere Leute hinter einem Router und loggt sich jemand beispielsweise mehrfach irgendwo falsch ein, wird schließlich das ganze Netzwerk laut externer IP geblockt.

Gibt es Möglichkeiten, dass andere korrekte Eingaben zu existierenden Userdaten nicht geblockt werden?

Re: Firewall blocken nach Anmeldedaten

Verfasst: 12.07.2018 16:48:03
von heisenberg
Das wäre die klassische Aufgabe eines Network Intrusion Detection Systems(Siehe hier für eine Auswahl: https://www.alienvault.com/blogs/securi ... k-overview)

Mit fail2ban kann man das auch machen, wenn man auf mehreren Hosts mit fail2ban dann jeweils z. B. per SSH auf dem Router die IP sperrt und auch wieder löscht. (Man kann auch die IP-Sperre auf eine Netzwerksperre ausweiten). Denkbar wäre auch eine synchronisation der fail2bans untereinander, so dass eine Sperre/Freigabe auf allen Hosts durchgeführt wird.

Das ist allerdings dann etwas Bastelarbeit.

Re: Firewall blocken nach Anmeldedaten

Verfasst: 13.07.2018 09:20:24
von BenutzerGa4gooPh
heisenberg hat geschrieben: ↑ zum Beitrag ↑
12.07.2018 16:48:03
 Das wäre die klassische Aufgabe eines Network Intrusion Detection Systems(Siehe hier für eine Auswahl: https://www.alienvault.com/blogs/securi ... k-overview)
Danke für die Übersicht! snort und suricata waren mir bekannt, da pfSense und OPNSense diese als Zusatzpakete mitliefern - aber noch nie probiert.

Re: Firewall blocken nach Anmeldedaten

Verfasst: 13.07.2018 10:11:08
von uname
Naja. Die Frage wäre vielleicht noch ob du überhaupt viel mehr als eine externe IP-Adresse vom Angreifer hast. Oft werden Angriffe über beliebige Benutzeraccounts gefahren, die weder von außen erreichbar (z. B. root) sind noch existieren. Da ist einzig eine vollständige Sperre der IP-Adresse sinnvoll. Oder hast du einen SSH-Server mit Tausenden von Accounts, wo unterschiedliche Benutzer über identische lokale Netzwerke (z. B. DSL-Anschlüsse) zugreifen, da sie verwandt sind bzw. in einer gemeinsamen Firma bzw. Institution arbeiten? Das erscheint mir unwahrscheinlich.

Re: Firewall blocken nach Anmeldedaten

Verfasst: 13.07.2018 12:48:34
von weshalb
@uname

Eigentlich handelt es sich um einen simplen, relayenden Mailserver mit zusätzlicher Webmaske, der an einem anderen Standort steht.
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/