Wächter hinter der Firewall: Fail2ban

Die IT-Systeme im Campusnetz der TU Chemnitz werden durch Firewalls vor unerwünschten Zugriffen aus dem Internet geschützt. Diese Schutzeinrichtungen befinden sich auf den zentralen Routern im URZ und werden durch Regeln der Administratoren definiert. Darüber hinaus kann sich jedes System durch sogenannte „personal Firewalls“ selbst schützen.

Fail2Ban-Logo

Logo des Intrusion Detection Systems Fail2ban

Auf Serversysteme, die bestimmte Dienste erfüllen, muss die Firewall den Zugriff erlauben. So müssen die Web- oder E-Mail-Server natürlich aus dem Internet erreichbar sein. Hier helfen Intrusion-Prevention-Systeme, Angriffe aus dem Internet zu erkennen und abzuwehren. Wird beispielsweise aus dem Internet auf dem Login-Server hundertfach versucht, sich als Administrator anzumelden (als Brute-Force-Attacken bezeichnet), sind das eindeutig Versuche, die es abzuwehren gilt. Gleiches gilt für endlose Fehlversuche, sich mit einem Loginkennzeichen beim Mailserver anzumelden. Egal, ob durch Angreifer versucht wird, ein Passwort zu erraten oder ein mit falschem Passwort konfiguriertes Mail-Programm immer wieder vergeblich anfragt – unsere Server sollten solche gehäuften Versuche abweisen.

Unsere Linux-basierten Server schützen wir seit einigen Wochen durch die Software Fail2ban. Diese überwacht bestimmte kritische Systemaktivitäten. Werden in einer definierten Zeiteinheit von einer Internet-Adresse mehr als eine festgelegte Zahl von Fehlern registriert, löst Fail2ban Aktionen aus. Üblicherweise wird dann für eine gewisse Zeit kein Datenverkehr mehr mit dieser auffällig gewordenen Internet-Adresse akzeptiert. Diese Sperre kann sich verlängern, wenn die Aktivitäten nach Ablauf der Sperre andauern.

Aktuell schützen wir folgende Server und Dienste vor Missbrauch oder Überlastung:

  • Login-Server: fehlerhafte Anmeldungen beim Login (Secure-Shell)
  • Mailbox-Server: fehlerhafte Anmeldungen zum Abholen oder Senden von E-Mail (IMAP, POP, SMTP)
  • Web-Trust-Center: fehlerhafte Authentisierung zu einem geschützten Webdienst
  • Webmail: fehlerhafte Anmeldung
  • Mailing-Listen: massenweises Anmelden von Mitgliedern in Mailing-Listen über Webanfragen

Sie müssen keine Angst haben, dass wenige falsche Passwort-Eingaben bereits zur zeitbefristeten Sperre führen. Getreu dem Ausspruch „Irren ist menschlich, aber auf Irrtümern zu bestehen ist teuflisch.“ erlauben die neuen Wächter hinter der Firewall einige Fehleingaben, bevor sie dann durchgreifen.

Getagged mit: ,
Veröffentlicht in Allgemein, IT-Sicherheit, System, Top-Artikel

Schreibe einen Kommentar