attacke blocken

Lesenswerte Artikel, Anleitungen und Diskussionen
l4a-shadow
Posts: 23
Joined: 2002-12-17 23:16

attacke blocken

Post by l4a-shadow » 2003-07-15 09:06

Hallo

Ich werde seit 2 Tagen von einen anderen Serve aus attackiert. Nun will ich das endlich mal blocken und versuche mich in iptables. Nun zu meinen Fragen:

1. iptables wird wohl nicht von meinen Suse Linux 7.2 unterstützt. Aber anscheinend ipchains. reicht das oder sollte ich den Kernel patchen?

2. Reicht da ein einfaches

iptables -I INPUT -s <ip> DROP ?

Danke schonmal für die Antworten.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: attacke blocken

Post by dea » 2003-07-15 09:27

Du könntest den Kernel aktualisieren oder mit ipchains arbeiten.

Statt des Kommandos "iptables' kannst Du aber nur das Kommando 'ipchains' verwenden (manpage lesen) und schau Dir auch ruhig mal fwadmin an.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-15 10:05

Du kannst da so viel "blocken" wie du willst, das eigentliche Problem bleibt trotzdem bestehen. Der einzieg Vorteil, den du hast, wenn du die IP blockst ist, dass dein Server keine Antworten mehr vershickt, der Traffic also nur ca. halb so groß ist.

Sinniger wäre es aber, das eigentliche Problem anzugehen, und z.B. dem Provider unter abuse@provider.tld eine Mail zukommen zu lassen, da sich derjenige strafbar macht. Alles andere ist sinnfrei ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: attacke blocken

Post by dodolin » 2003-07-15 10:23

Alles andere ist sinnfrei ...
Ich hätte da noch einen weiteren sehr sinnigen Alternativvorschlag, der nicht so passiv ist (bei Abuse beschweren bringt mir erst mal nichts, wenn der nicht oder langsam reagiert), sondern aktiv etwas gegen die Angriffe tut:

Man informiere seinen eigenen Provider, dass dieser auf dem Router vor dem eigenen Server (oder auch gleich auf dem Borderrouter) den Bösewicht blockt. Das geht natürlich nur, wenn man bei einem Provider ist, der solche Services auch anbietet. Wenn man aber nicht gerade beim Massen-Billig-ISP ist, sollte das schon standardmäßig drin sein...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-15 10:26

Noch besser ... ;)

Mich würde jetzt allerdings mal brennend interessieren, ob 1&1 bereit wäre, diesen Service zu bieten ?!?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

l4a-shadow
Posts: 23
Joined: 2002-12-17 23:16

Re: attacke blocken

Post by l4a-shadow » 2003-07-15 10:28

Das hab ich ja schon alles probiert.

Der Server steht bei S4F wie auch meiner. Aber die schaffen es nicht mal den Server abzuschalten oder zu blocken.

Es geht ja nur darum, dass der andere Server nicht meinen blockiert. Der Traffic ist eh nicht so groß.
Nur loggt der sich auf FTP, SSH, HTTP, Mail ein und verursacht damit eine Blockade, da der Server keine Resourcen für anderes mehr frei hat.

Danke aber trotzdem für die Tipps.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-15 10:31

Der Server steht bei S4F wie auch meiner. Aber die schaffen es nicht mal den Server abzuschalten oder zu blocken.
In dem Fall machen die sich mit strafbar ... und genau das würde ich dem Support auch so mitteilen ...

Aber beachte : IANAL
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

l4a-shadow
Posts: 23
Joined: 2002-12-17 23:16

Re: attacke blocken

Post by l4a-shadow » 2003-07-15 10:38

Aber beachte : IANAL
Was soll das sein?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-15 10:44

I am not a Lawyer : ich bin kein Anwalt, und das war keine Rechtsberatung.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: attacke blocken

Post by dodolin » 2003-07-15 11:00

Mich würde jetzt allerdings mal brennend interessieren, ob 1&1 bereit wäre, diesen Service zu bieten ?!?
Ich dachte,
Wenn man aber nicht gerade beim Massen-Billig-ISP ist, sollte das schon standardmäßig drin sein...
erklärt das... ;)

Ich will es nicht beschwören, aber ich kann mir beim besten Willen nicht vorstellen, dass 1&1 sowas anbietet. - Zumindest nicht für diesen Preis. Ich kenne aber z.B. einen ISP, da ist das standardmäßig mit drin - kostet aber halt auch entsprechend, wenn man solchen (und andere) Service(s) möchte.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-15 14:50

Siehst du : in dem Fall möchte ich wissen, nicht nur denken ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

l4a-shadow
Posts: 23
Joined: 2002-12-17 23:16

Re: attacke blocken

Post by l4a-shadow » 2003-07-15 16:36

so ich hab es nun mit ipchains probiert. Folgende Paramater:

ipchains -I INPUT -s <ip> -p tcp -j DENY

es kommt dann folgende Fehlermeldung:

ipchains: Protocol not available


Was kann das sein? Hab ich bei den Parametern nen Fehler?

the-q
Posts: 18
Joined: 2002-09-03 21:38

Re: attacke blocken

Post by the-q » 2003-07-16 15:31

FTP und SSh auf Port 21 bzw. 22 laufen zu lassen ist IMHO ohnehin vom Sicherheitsaspekt her bedenklich (Brute-Force etc.). Ebenso sollte Webmin nicht auf 10000 laufen.

Sinnvoll wäre es diese umzulegen und evtl. wie auf unserem Server einen IDS-Daemon wie z.B. Portsentry im Stealth-Mode laufen zu lassen der alle Clients die auf unbelegte Ports zugreifen für ein paar Stunden zu droppen.

Die meisten Attacken kommen erst gar nicht zustande, wenn der Angreifer keinen Hafen findet den er exploiten könnte...

<tipp>Was Deine iptables und ipchains Geschichte angeht wird dir sicherlich eine Neukonfiguration mit anschliessender kompilierung des Kernels helfen...</tipp>

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: attacke blocken

Post by standbye » 2003-07-16 15:47

standard ports wie ftp ssh etc umzulegen verursacht meist nur verwirrung und kunden kannst du das sowieso nicht antun wenn u denen ne mail schickst -> ja absofort geht ihr mit port 2142 auf ftp weil mir 21 zu unsicher ist ->die werden dir was scheissen

lieber dienste aktuell halten / edit: sichere pws benutzen

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-16 16:32

FTP und SSh auf Port 21 bzw. 22 laufen zu lassen ist IMHO ohnehin vom Sicherheitsaspekt her bedenklich (Brute-Force etc.). Ebenso sollte Webmin nicht auf 10000 laufen.
An dieser Stelle mal wieder : Security by obscurity funktioniert nicht !
Sinnvoll wäre es diese umzulegen und evtl. wie auf unserem Server einen IDS-Daemon wie z.B. Portsentry im Stealth-Mode laufen zu lassen der alle Clients die auf unbelegte Ports zugreifen für ein paar Stunden zu droppen.
... und sich schön mit dem tollen Portsentry selbst zu DOSsen, oder Panik zu kriegen, weil man nicht weiß, wie das Programm arbeitet, und was es tut ...
Die meisten Attacken kommen erst gar nicht zustande, wenn der Angreifer keinen Hafen findet den er exploiten könnte...
Sämtliche Scriptkiddies lassen trotzdem ihre kleinen Windows-Tools auf deine Kiste los ...

Von daher kann ich Stanbye nur beipflichten : Dienste aktuell halten, sich darauf kontentrieren, diese so sicher wie möglich zu konfigurieren, und Update-technisch auf dem aktuellen Stand bleiben ist das "sicherste", das du tun kannst.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

the-q
Posts: 18
Joined: 2002-09-03 21:38

Re: attacke blocken

Post by the-q » 2003-07-16 17:08

@CC

Schön, daß Du von Grund auf erstmal davon ausgehst, daß alle vollverblödet sind.

Es nützt auch nichts einfach eine total unrelativierte Behauptung aufzustellen "Security by obscurity" funktioniere nicht, da Du natürlich von der Grundvorraussetzung ausgehst man habe ansonsten kein Sicherheitskonzept.

Ich benutze Portsentry auf mehreren Servern seit über einem Jahr und glaube auch damit umgehen zu können ohne in Panik zu verfallen.
Nur loggt der sich auf FTP, SSH, HTTP, Mail ein und verursacht damit eine Blockade, da der Server keine Resourcen für anderes mehr frei hat.
Die Aufgabenstellung ist hier doch schon ganz klar vorgegeben. Das beste Sicherheitskonzept nützt Dir in diesem Fall überhaupt nichts, wenn auch das letzte "ScriptKiddie" die Möglichkeit hat an Türen zu klopfen. Vollkommen egal wie verschlossen diese sind, es macht nunmal doch Krach!

Jm2cts

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: attacke blocken

Post by mutombo » 2003-07-16 17:17

wenn ich einen rootserver scannen würde, wüßte ich schon welche ports da interessant wären. von daher hat portsentry wenig effekt.

the-q
Posts: 18
Joined: 2002-09-03 21:38

Re: attacke blocken

Post by the-q » 2003-07-16 17:19

Dann lies Dir bitte meinen ersten Beitrag nochmal durch...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-16 17:22

Es nützt auch nichts einfach eine total unrelativierte Behauptung aufzustellen "Security by obscurity" funktioniere nicht, da Du natürlich von der Grundvorraussetzung ausgehst man habe ansonsten kein Sicherheitskonzept.

Ich benutze Portsentry auf mehreren Servern seit über einem Jahr und glaube auch damit umgehen zu können ohne in Panik zu verfallen.
Hast du dich schon mal näher hier im Forum umgesehen ? Nicht jeder ist so "gründlich" wie du und hat sich ein Sicherheitskonzept schon im Vorfeld erstellt.

Desweiteren bleibe ich dabei, dass es vollkommen sch...egal ist, auf welchem Port ein Dienst lauscht, so lange er lauscht ist er angreifbar, macht dem Admin das Leben unnötig schwer, und hält Scriptkiddies definitiv nicht ab. Die Diskussion führe ich aber mittlerweile schon zum x-ten Mal, wenn du aber unbedingt möchtest, wird das hier die x+1-te ...

Btw. an dieser Stelle mal wieder : das trolle Portsentry bekommt (z.B.) nmap-Paranoid-Scans erst gar nicht mit, desweiteren blockiere ich dir damit ganze Netzbereiche auf dem Server, wenn ich's drauf anlege.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

the-q
Posts: 18
Joined: 2002-09-03 21:38

Re: attacke blocken

Post by the-q » 2003-07-16 17:55

Zunächst mal kann ich mir schon vorstellen, daß es manchmal als Boardadmin ermüdend sein kann ständig die selben Fehler bzw. Newbiesachen zu lesen, aber jeder ist auf bestimmten Gebieten immer Newbie egal wie er sich ansonsten auskennt. In meinem Fall hatte früher an der Uni sehr viel mit UNIX und Datenbanken zu tun, nie aber mit Linux als Webserver, da wird man schon mal schnell wieder zum Noob...
Dieses Forum hat mir in der Vergangenheit schon oft Inspiration gegeben, dafür an dieser Stelle ein recht herzliches Dankeschön.

Zurück zu Thema: Portsentry ist schon wesentlicher besser als sein Ruf hier an Board. Richtig konfiguriert stöbert es alles auf (Connect scans, SYN scans, FIN scans, NULL scans, XMAS scans, FULL-XMAS scans und UDP scans). Der PARANOID-Throttle hat ebenfalls keinen Effekt.
Desweiteren bleibe ich dabei, dass es vollkommen sch...egal ist, auf welchem Port ein Dienst lauscht, so lange er lauscht ist er angreifbar, macht dem Admin das Leben unnötig schwer, und hält Scriptkiddies definitiv nicht ab.
ACK! Nur leider habe ich ja als Rootserver-Admin kaum eine andere Wahl, als mir zumindest einen Remote-Dienst offen zu halten, denn den Server zu resetten um im Rescue-Modus Admin-tätigkeiten durchzuführen finde ich doof :?
Sicher kann man nicht alles "böse" von seinem Server fernhalten. Aber 99,9% sind IMHO schon mal ein guter Anfang... 8)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-16 18:10

aber jeder ist auf bestimmten Gebieten immer Newbie egal wie er sich ansonsten auskennt.
In dem Puntk stimme ich dir voll und ganz zu.
Zurück zu Thema: Portsentry ist schon wesentlicher besser als sein Ruf hier an Board. Richtig konfiguriert stöbert es alles auf (Connect scans, SYN scans, FIN scans, NULL scans, XMAS scans, FULL-XMAS scans und UDP scans). Der PARANOID-Throttle hat ebenfalls keinen Effekt.
In dem Fall habe ich bisher anscheinend ausschließlich falsch konfigurierte Portsentrys gesehen ... ;)
Der Kritikpunkt, das ich deinen Server damit massiv DOSsen kann, ohne ihm direkten Schaden zuzuführen bleibt aber trotz allem bestehen : sofern ich massive Decoy-Hosts nutze, sperre ich im günstigsten Fall komplette Netzbereiche aus, die dein Angebot gerne sehen möchten. Alleine das ist der Grund für mich, Portsentry für sinnfrei zu erklären.
ACK! Nur leider habe ich ja als Rootserver-Admin kaum eine andere Wahl, als mir zumindest einen Remote-Dienst offen zu halten, denn den Server zu resetten um im Rescue-Modus Admin-tätigkeiten durchzuführen finde ich doof
Wo wir wieder bei "Security by obscurity" wären : durch andere Ports machst du es einem potenziellen Angreifer vielleicht schwerer, wiegst dich aber in trügerischer Sicherheit, da der Dienst schließlich immer noch auf Port X lauscht, und der auch mehr oder weniger einfach rauszubekommen ist, wenn man es drauf anlegt, schließlich gibt es genug Stellen zwischen deinem Homerechner und dem Rootie, auf denen man "mehr" über die Kommunikation herausfinden könnte.
Sicher kann man nicht alles "böse" von seinem Server fernhalten. Aber 99,9% sind IMHO schon mal ein guter Anfang...
Von den 99,9% derjenigen, die du meinst sind IMHO mindestens 96% Scriptkiddies, vor denen man höchstens dann Angst haben sollte, wenn man sich wirklich blöd angestellt hat. Vor den nächsten 2% könnte man sich Sorgen machen, diejenigen hält man aber eher durch eine sichere Konfiguration und aktuelle Sicherheitsupdates ab. Das Prozent, das dann noch fehlt sind genau die Leute, die dein Rootie weniger als nicht interessiert ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

the-q
Posts: 18
Joined: 2002-09-03 21:38

Re: attacke blocken

Post by the-q » 2003-07-16 18:26

Zum Thema Portsentry und DOSsen. Hier mal die relevante Configzeile die das vermeidet (oder vermeiden sollte):

Code: Select all

# iptables support for Linux with limit and LOG support. Logs only
# a limited number of packets to avoid a denial of service attack.
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level DEBUG --log-prefix 'Portsentry: dropping: '"
Was ausgesperrte Netzbereiche angeht so flushe ich via cronjob alle 12 Stunden die iptables...
Von den 99,9% derjenigen, die du meinst sind IMHO mindestens 96% Scriptkiddies, vor denen man höchstens dann Angst haben sollte, wenn man sich wirklich blöd angestellt hat.
Bei unserem Ausgangsproblem dieses Threads, war ja aber wie gesagt nicht das Problem der Sicherheit gegeben, sondern der Serverlast!
Wie gesagt, man muss es den Leuten ja nicht unbedingt leichter machen als nötig (ein vorhandenes Sicherheitskonzept vorrausgesetzt!).
Last edited by the-q on 2003-07-16 20:09, edited 1 time in total.

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: attacke blocken

Post by mutombo » 2003-07-16 19:04

gegen nen DDoS hilft keine rule der welt, wenn die packets irgendwann mit 100mbit pro sec bei dir einfallen is einfach die leitung dicht.

the-q
Posts: 18
Joined: 2002-09-03 21:38

Re: attacke blocken

Post by the-q » 2003-07-16 19:24

@mutombo
Stimmt, aber die Frage war ja ob es durch Portsentry schlimmer wird... :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: attacke blocken

Post by captaincrunch » 2003-07-16 20:14

Zum Thema Portsentry und DOSsen. Hier mal die relevante Configzeile die das vermeidet (oder vermeiden sollte):
Ich rede hier nicht von DOS durch massiven Traffic, so was ist Schwachsinn. Was ich meine sind hunderte sog. Decoy-Hosts, die in deinem schönen Portsentry-Log auftauchen, und dadurch innerhalb der nächsten 12 Stunden nicht mehr auf deine Seite(n) zugreifen können.
Macht sich tierisch gut, wenn du eine Firmenseite hast, auf die potenzielle Kunden nicht mehr zugreifen können. Da helfen dir auch 12 Stunden nicht, für diejenigen ist dein Ruf erstmal unten durch, da kannst du denen erklären was du willst.
Insofern wage ich zu behauoten, dass es durch Portsentry auf jeden Fall schlimmer werden kann.
Bei unserem Ausgangsproblem dieses Threads, war ja aber wie gesagt nicht das Problem der Sicherheit gegeben, sondern der Serverlast!
Was bitte haben dann Dienste auf geänderten Ports mit einer erhöhten Serverlast zu tun ? Ich rede nur immer noch davon, dass Security by obscurity nicht funktioniert ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc