Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

öffentliche IP-Adressen aus asiatischen Raum sperren

Frage Sicherheit Firewall

Mitglied: knut4linux

knut4linux (Level 1) - Jetzt verbinden

16.12.2008, aktualisiert 17.12.2008, 15871 Aufrufe, 14 Kommentare

Öffentliche IP-Adressen aus dem asiatischen Raum mittels IP-tables sperren, Möglich?

Hey @ll,

seit kurzem stelle ich vermehrt zugriffsversuche aus dem asiatischen Raum fest. Die Zugriffsversuche beschränken sich nur auf das WEB. Der Web-server ist eine virtuelle Maschine. Die einzigen Dienste, die darauf laufen, sind http, ntp und ein firwallscript mittels iptables.

An sich kann ich über die versuche ja nur schmunzeln, aber es nervt mich, dass mein log-files permanent von diesem "Misst" voll geschrieben werden. Klar, jetzt könnte ich das log'n einfach abstellen und habe meine Ruhe, aber ich will schon wissen, was auf der Kiste abgeht und wo vor allem auch noch Sicherheitslücken sind.

Daher wollte ich einfach nur mal Fragen, ob es ne Möglichkeit gibt, einen öffenlichen Adressraum zu sperren oder mittels Prerouting ins irgendwo routen?? Wenn ja, woher weiß ich, welche IP-Adressen aus Asien geroutet werden. Jede IP-Adresse mittels trace route zu Verfolgen finde ich sehr Zeitaufwendig und auf Grund der Masse an IP's unzumutbar.


Vielen Dank im Voraus für eure Ideen.

Gruß,
Knut
Mitglied: Alphavil
16.12.2008 um 15:38 Uhr
Lass mich raten, 99 % der IP-Adressen kommen aus China ?

Es gibt eine Möglichkeit, allerdings bin ich mir nicht mehr sicher wie das ging. Ich frag da mal bei meinem Chef nach


Gruß André
Bitte warten ..
Mitglied: knut4linux
16.12.2008 um 15:53 Uhr
Lass mich raten, 99 % der IP-Adressen kommen aus China ?

eigentlich sogar gefühlte 300%

Nun bin ich mal gespannt.

Schönen Feierabend an alle erstmal.

Gruß, Knut
Bitte warten ..
Mitglied: dog
16.12.2008 um 17:28 Uhr
Wenn du die wirklich sperren willst hast du keine wirkliche Chance.
Die beste Lösung ist es eine Geolocation-Database zu verwenden, aber die sind oft veraltet oder ungenau.

Eine solche Datenbank findest du z.B. hier: http://ip-to-country.webhosting.info/

Grüße

Max
Bitte warten ..
Mitglied: 16568
16.12.2008 um 18:22 Uhr
? ? ?

Sach ma, wie geil ist das denn?

Klar geht das, hab ich auch schon gemacht (mach ich eigentlich bei fast allen meinen Servern, es sei denn, der Kunde kommuniziert mit "drüben"...);
einfach die entsprechenden IP-Ranges sperren, feddisch.

Da Du ja schon iptables hast, ein Kinderspiel.


Lonesome Walker
Bitte warten ..
Mitglied: dog
16.12.2008 um 20:29 Uhr
Klar geht das

Sicher, meine Aussage bezog sich auch darauf das es keine zuverlässige Set-It-And-Forget-It-Lösung gibt.
Eine Sperrliste von heute kann morgen schon veraltet sein, weshalb man da immer hinterher sein muss.

Als Alternative zur Gelocation-Datenbank ist mir für einen ganzen Kontinent auch noch die Zuweisung von IANA eingefallen: http://www.iana.org/numbers/. Die Liste ist dann etwas kleiner.

Grüße

Max
Bitte warten ..
Mitglied: knut4linux
17.12.2008 um 07:56 Uhr
Moin Jungs,

erstmal vielen Danke für euere schnellen Antworten. So, Anhand der Links von dog weiß ich zumindest schon mal, welche IP Bereiche für den asiatischen Raum reserviert sind. Danke an dieser Stelle

@Lonesome Walker

Setzt du da jetzt einfach ein drop auf die IP's 058/8 usw?? Oder wie realisierst du das??

Ergo: iptables -A INPUT -s 058/8 DROP ??

Gruß,
Knut
Bitte warten ..
Mitglied: 16568
17.12.2008 um 11:28 Uhr
Wieviel RAM hast Du?

Wenn Du >= 2GB hast, würde ich an Deiner Stelle fail2ban verwenden.
Default solltest Du auf DROP lassen (ja, ich weiß, das kostet RAM...)
Hat aber den Vorteil, daß die Leute, die da Zugang auf den Server begehren, das merken...
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny...

@dog:
zuerst Bullsh*t schreiben, und dann versuchen, sich zu verbessern, das bin ich ja bereits von Dir gewohnt...
Lieber erst nachdenken, dann posten.
Tut keinem weh, hebt aber die Qualität des Forums hier enorm...

Ganze IP-Ranges aussperren, tstststs...
Klar gehts, aber wieso kompliziert, wenns einfach auch geht...


Lonesome Walker
Bitte warten ..
Mitglied: knut4linux
17.12.2008 um 11:40 Uhr
Hey Lonesome,

wenn mein script geladen wird, setze ich erstmal alles auf Drop und mache nach und nach auf.

Zu dem Speicherproblem: Es ist wie gesagt ne virtuelle Maschine mit 256 MB. Mehr wäre dan der Stelle auch zu viel, weil die Kiste nicht mehr zu tun hat als den Web-dienst zur Verfügung zu stellen.

Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny

Das nenn ich ja mal ein richtig genialen Einfall. Auf den hätte ich ja selbst kommen können
Nur, wie realisierst du das dann mit der Masse der IP-Adressen?? Trägst du hier ne range ein??
Bitte warten ..
Mitglied: dog
17.12.2008 um 13:17 Uhr
Hättest du meinen Beitrag mal ganz gelesen und nicht nach dem ersten Satz bereits mit deinen Hasstiraden begonnen, wäre dir vielleicht auch aufgefallen, dass ich durchaus einen _möglichen_ Lösungsansatz genannt habe (und später noch einen weiteren).

Es gibt aber nunmal keine _echte_ Lösung für dieses Problem und genau das habe ich auch gesagt ("wirkliche"). Es wäre eher gefährlich zu behaupten es gibt einen absoluten Schutz, dass ist nämlich nur ein Trugschluss.
Wenn du heute Asien sperrst kommt morgen Eurasien dran, übermorgen Amerika und nächste Woche sperrt man sich selbst aus, weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.

Grüße

Max
Bitte warten ..
Mitglied: knut4linux
17.12.2008 um 13:29 Uhr
Naaaaaaa Jungs,
ich merke schon, dass das ein Thema ist, was nicht gerade für Begeisterung sorgt. Trotzdem sollten wir unsere Probleme untereinander vielleicht woanders klären. Wollte keinen "Streit" entfachen. Bisher bin ich für jeden geposteten Beitrag dankbar.


@Lonesome

Noch mal ne Frage zur hosts.deny. Beschränkt die sich nur auf direkte Zugriffsversuche des Systems oder gelten die Beschränkungen auch übergreifend (was den apache angeht)?

Gruß,
Knut
Bitte warten ..
Mitglied: knut4linux
17.12.2008 um 13:38 Uhr
Kleiner Nachtrag...

@dog

Dieser Link hier http://www.iana.org/assignments/ipv4-addr ... hat auf jedenfall geholfen. Den ein Vergleich mit meiner Log datei ergab, das sich die Datenbank auf einen sehr aktuellen befindet
Bitte warten ..
Mitglied: knut4linux
19.12.2008 um 08:31 Uhr
Moin @ll,

ich wollte euch nur mitteilen, dass ich aus euren Ideen eine Lösung erarbeitet habe. Ich habe einfach einen script geschrieben, der alle 10 min meine error logs vom Apache ausliest und die die IP-Adresse des "Angreifers" mittels iptables sperrt.

Bsp.: Für den Onlinescanner DFIND sieht das ganze so aus:

#!/bin/sh
## IP-Adressen, welche mit DFIND scannen, blocken.
for ip in `cat /opt/lampp/logs/web_de_error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g' | sort -ug` ; do
countoff=$[$countoff+1]
countwoot=$[$countwoot+1]
/sbin/iptables -I INPUT -s $ip -j DROP
/sbin/iptables -I OUTPUT -s $ip -j DROP

Ein kurzer check, zeigt auch, dass das ganze funktioniert.

Ausschnitt iptables -L:

DROP 0 -- nip-121-0-0-0.onqnetworks.net/8 anywhere

Somit habe ich sichergestellt, dass
a) ...ich nicht ganze Blöcks von ip-adressen sperren muss.
b) ...sperrliste von IP-Adressen nicht aufwendig pflegen muss.

von Dog: ...weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.

dürfte sich damit dann auch erledigt haben.

Ich danke nochmal für eure zahlreichen Ideen und schnelle Antworten @Admin-kollegen
Bitte warten ..
Mitglied: 16568
19.12.2008 um 11:04 Uhr
Dann hast Du meinen Kommentar nicht genau genug gelesen...

fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...


Lonesome Walker
Bitte warten ..
Mitglied: knut4linux
19.12.2008 um 11:37 Uhr
Dann hast Du meinen Kommentar nicht genau genug gelesen...

fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...

Schon, aber ich habe doch nur sehr begrenzte Ressourcen. Und du meintes, für fail2ban bräuchte ich min 2GB. Hab ich aber nich
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...