5
Firewall mit Einzel-White-Listing über Webinterface gesucht
Hallo,
ja, ich weiß, es ist ein komischer Titel.
Aber mein Problem ist, dass ich etwas suche und den Namen nicht kenne.
Ich beschäftige mich wieder mal mit der Sicherheit der Server unserer Kunden.
Hauptsächlich FTP (via TLS) und SSH unter Debian und Ubuntu LTS.
Den Zugriff kann ich nicht auf bestimtme IPs beschränken, da die Kunden keine feste IPs haben und VPN für die Kunden zu aufwendig ist.
Wir nutzen Fail2Ban und eine Firewall, aber teilweise haben die Angreifer sehr viele IP-Adressen. Ein Brute-Force-Angriff kam mal aus 5 Ländern und hatte mindestens 2 16er Netze.
Da dache ich an eine ganz einfache Lösung.
1. Es sind nur Zugriffe von IPs erlaubt die in einer White-List stehen
2. Der Nutzer geht auf eine Website und meldet sich (mit 2 Faktor Auth) an
3. Dabei wird seine IP für (z.B. 24 Stunden) in die Whitelist geschrieben.
Easy
Entweder direkt mit Whitelist des FTP- und SSH-Servers oder ein bisschen universeller in einer Firewall die diese Webinterface schon mitbrint.
Quasi ein umgekehrtes captive portal für WLAN.
Nur halt rein und nicht raus.
Kennt Jemand so etwas?
Und wie heißt es?
Danke
Stefan
ja, ich weiß, es ist ein komischer Titel.
Aber mein Problem ist, dass ich etwas suche und den Namen nicht kenne.
Ich beschäftige mich wieder mal mit der Sicherheit der Server unserer Kunden.
Hauptsächlich FTP (via TLS) und SSH unter Debian und Ubuntu LTS.
Den Zugriff kann ich nicht auf bestimtme IPs beschränken, da die Kunden keine feste IPs haben und VPN für die Kunden zu aufwendig ist.
Wir nutzen Fail2Ban und eine Firewall, aber teilweise haben die Angreifer sehr viele IP-Adressen. Ein Brute-Force-Angriff kam mal aus 5 Ländern und hatte mindestens 2 16er Netze.
Da dache ich an eine ganz einfache Lösung.
1. Es sind nur Zugriffe von IPs erlaubt die in einer White-List stehen
2. Der Nutzer geht auf eine Website und meldet sich (mit 2 Faktor Auth) an
3. Dabei wird seine IP für (z.B. 24 Stunden) in die Whitelist geschrieben.
Easy
Entweder direkt mit Whitelist des FTP- und SSH-Servers oder ein bisschen universeller in einer Firewall die diese Webinterface schon mitbrint.
Quasi ein umgekehrtes captive portal für WLAN.
Nur halt rein und nicht raus.
Kennt Jemand so etwas?
Und wie heißt es?
Danke
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270374
Url: https://administrator.de/contentid/270374
Printed on: April 24, 2024 at 07:04 o'clock
5 Comments
Latest comment
Moin Stefan,
der einfachste Ansatz wäre aus der Hüfte heraus, den Kunden DynDNS-Accounts (z.B. www.ddnss.de) zu verpassen. Wenn die Firewall mit DNS-Namen umgehen kann, für jeden Kundenadresse eine Regel anlegen - fertig. Du solltest nur sicherstellen, dass die Firewall keinen DNS-Cache nutzt. Falls die Firewall mit DNS-Namen nicht umgehen kann, könntest du Squid nehmen und darüber die Verbindung nur zulassen. Ich dentiere aber zur Firewall-Lösung weils einfach sauber ist.
Gruß,
Dani
der einfachste Ansatz wäre aus der Hüfte heraus, den Kunden DynDNS-Accounts (z.B. www.ddnss.de) zu verpassen. Wenn die Firewall mit DNS-Namen umgehen kann, für jeden Kundenadresse eine Regel anlegen - fertig. Du solltest nur sicherstellen, dass die Firewall keinen DNS-Cache nutzt. Falls die Firewall mit DNS-Namen nicht umgehen kann, könntest du Squid nehmen und darüber die Verbindung nur zulassen. Ich dentiere aber zur Firewall-Lösung weils einfach sauber ist.
Wir nutzen Fail2Ban und eine Firewall, aber teilweise haben die Angreifer sehr viele IP-Adressen.
So läuft der Hase nun mal... wenn unser IPS einen Versuch erkennt und blockt, werden alle IP-Adressen innerhalb vom AS des Hosters/ISP in eine Firewallregel gepflegt und zukünftig geblockt. Bei Adressen aus dem deutschen Raum, wird eine Abusemeldung verschickt. Reagiert das Unternehmen nicht, wird dies ebenfalls in die Block-Regel aufgenommen. Da fackeln wir nicht mehr lange rum!Gruß,
Dani
Moin,
am einfachsten lässt sich sowas mit der iptables Firewall direkt auf dem Linux System lösen.
Sobald du eine Portweiterleitung einrichtest geht meines Wissens nach alles durch ohne Möglichkeit zum filtern.
Empfehlung wäre für solche Systeme ein aktuelles Redhat oder CentOS. Durch SELinux kann bei einem erfolgreichen Angriff wenigstens nicht das komplette System gekapert werden.
VG
Val
am einfachsten lässt sich sowas mit der iptables Firewall direkt auf dem Linux System lösen.
Sobald du eine Portweiterleitung einrichtest geht meines Wissens nach alles durch ohne Möglichkeit zum filtern.
Empfehlung wäre für solche Systeme ein aktuelles Redhat oder CentOS. Durch SELinux kann bei einem erfolgreichen Angriff wenigstens nicht das komplette System gekapert werden.
VG
Val
Hallo,
scheint es so fertig nicht zu geben.
Was sehr ähnlich ist das PortKnocking (knockingd).
Er registriert Pakete an bestimmte Ports und führt dann Befehle aus.
Zum Beispiel iptables.
Das mit dem knocking ist für einen Enduser nun nicht so einfach.
Ein kleines Webinterface könnte das gleiche machen.
Damit könnte selbst Jemand der die FTP-Zugangsdaten geklaut hat nicht auf den Server zugreifen.
Die Sicherheit würde deutlich erhöht.
Funktioniert für alles mit festem Post wie z.B. SSH, FTP, MySQL, etc
Stefan
scheint es so fertig nicht zu geben.
Was sehr ähnlich ist das PortKnocking (knockingd).
Er registriert Pakete an bestimmte Ports und führt dann Befehle aus.
Zum Beispiel iptables.
Das mit dem knocking ist für einen Enduser nun nicht so einfach.
Ein kleines Webinterface könnte das gleiche machen.
Damit könnte selbst Jemand der die FTP-Zugangsdaten geklaut hat nicht auf den Server zugreifen.
Die Sicherheit würde deutlich erhöht.
Funktioniert für alles mit festem Post wie z.B. SSH, FTP, MySQL, etc
Stefan
Guten Abend Stefan,
Gruß,
Dani
scheint es so fertig nicht zu geben.
Firewall welche DNS-Objekte unterstützen? Gibt's einige Hersteller (pfSense, Barracuda, Dell Sonicwall).Gruß,
Dani
Hallo Dani,
nein, die Kombination Webinterface zu Firewall.
Stefan
nein, die Kombination Webinterface zu Firewall.
Stefan
