IPTables & Fail2Ban

  • Hallo,


    ich würde in LiveConfig gerne folgende Features begrüßen:


    - ein Firewall Interface / bzw. IPTables GUI, sodass der Administrator bequem über LiveConfig Ports öffnen und schließem, IPs blockieren und Routen festlegen kann. (Ihr könnt ja mal bei ajenti vorbei schauen ;) , das nutze ich jetzt, aber eine "all-in-one" Lösung wäre schöner).


    - Ich weiß nicht ob es geht, aber eine Fail2Ban Lösung wäre gut. Z.B. gibt man 3x ungültige Kontoinformationen an, und muss bis zum nächstem Login 10 Minuten warten. Ich kenne es von anderen Lösungen (z.B. ISPCP) und es hilft gegen Brutforce attacken doch schon etwas.Entweder könnte dies LiveConfig selbst verwalten und/oder eine Filterregel für Fail2Ban zu erstellen. Die Filterregel von Fail2Ban hätte den Vorteil aber auch Nachteil, dass es direkt in die IPTabels geschrieben wird und der Benutzer ggf. kein Feedback erhält, somit wäre eine eigene Lösung vllt. Vorteilhafter.


    Grüßchen

  • Hallo,


    ich würde in LiveConfig gerne folgende Features begrüßen:


    - ein Firewall Interface / bzw. IPTables GUI, sodass der Administrator bequem über LiveConfig Ports öffnen und schließem, IPs blockieren und Routen festlegen kann.


    Hier möchte ich mich doch direkt anschließen.
    Von Vorteil wäre es in diesem Zusammenhang auch, wenn man ganze IP-Regionen "verbannen" und/oder umleiten könnte. Ich denke nicht, das meine täglichen Besucher aus Russland, China & Co wirklich in meinem Sinne handeln wollen...


    - Ich weiß nicht ob es geht, aber eine Fail2Ban Lösung wäre gut. Z.B. gibt man 3x ungültige Kontoinformationen an, und muss bis zum nächstem Login 10 Minuten warten. Ich kenne es von anderen Lösungen (z.B. ISPCP) und es hilft gegen Brutforce attacken doch schon etwas.Entweder könnte dies LiveConfig selbst verwalten und/oder eine Filterregel für Fail2Ban zu erstellen. Die Filterregel von Fail2Ban hätte den Vorteil aber auch Nachteil, dass es direkt in die IPTabels geschrieben wird und der Benutzer ggf. kein Feedback erhält, somit wäre eine eigene Lösung vllt. Vorteilhafter.


    Das sehe ich auch so! Eine eigene Meldung scheint mir hier Sinnvoller....


    viele Grüße
    Matthias Knick

  • Zur Firewall: die Idee ist naheliegend, steht aber im "unteren Drittel" der "Wunschliste". Derzeit gibt es schlicht noch wichtigere Funktionen; wer IPTables nutzen möchte, dem stehen bei jeder Distribution hauseigene Firewall-Scripte zur Verfügung.
    Aber wie gesagt - es steht auf der Wunschliste und wird mittelfristig auch umgesetzt werden. Unserer Vorstellung nach auch so, dass z.B. auf einem OpenSUSE-System einfach die entsprechenden Regeln mittels der SUSE-Firewall (bzw. YAST) kommuniziert werden und wir so keine weitere Insellösung aufsetzen. Da gibt's aber noch viele Details zu klären...


    Zum Brute-Force-Schutz: dieser ist im Code an den entsprechenden Stellen vorbereitet, bislang nur noch nicht umgesetzt. Das sollte keine große Sache sein, ist also voraussichtlich auch im nächsten Update (1.5.2) enthalten.
    Wir speichern in diesem Fall das IP-Netz (IPv4: /24, IPv6: /64). Ab dem 3. erfolglosen Anmeldeversuch wird eine Warnung angezeigt und ein Hinweis auf die "Passwort-vergessen"-Funktion gegeben. Nach dem 5. erfolglosen Versuch wird dieses IP-Netz für 10 min geblockt (mit entsprechendem Hinweis). Beim ersten erfolgreichen Login bzw. nach 10 Minuten wird das IP-Netz aus der Blacklist wieder entfernt.
    Wir planen jedoch keine Konfigurationsmöglichkeit für manuelle Blacklists/Whitelists auf IP-Ebene; das sollte Sache einer IP-Firewall sein.


    Viele Grüße


    -Klaus Keppler

  • Ist der Brute-Force-Schutz mittlerweile implementiert. In einem Selbstversuch konnte ich dies nicht bestätigen.
    Wenn nicht würde ich mich sehr über eine entsprechende Implementation in den nächsten Versionen freuen!


    Gruß


    Martin

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!