suche iptables regeln zum loggen und blocken bekannter Angriffe |
||
---|---|---|
#0
| ||
17.10.2005, 21:20
...neu hier
Beiträge: 3 |
||
|
||
24.10.2005, 23:14
...neu hier
Beiträge: 7 |
#2
Zitat sonos posteteso, ich hoffe, des hilft... deine wahl war schon richtig! --> iptables 1. iptables erkennt keine angriffe... es behandelt ip-pakete nach von dir erstellten regeln. du kannst logfiles auswerten mit auditing-tools oder ein ids wie snort verwenden... das sagt dir mehr zum thema "angriffsversuche" 2. spoofing zu erkennen ist ne zweischneidige sache: 2.1: wenn du pakete an deinem externen interface siehst, die private adressen als quelle oder ziel haben (also ips aus folgenden netzen CLASS_A=10.0.0.0/8 CLASS_B=172.16.0.0/12 CLASS_C=192.168.0.0/16 kannste die mit dem kommentar "spoofing-attempt" wegwerfen 2.2 wenn jemand eine scheinbar valide ipadresse nutzt und dich connected, kannste natürlich net wissen, ob des die is, die er tatsächlich von seinem provider hat... also wenn jemand öffentliche ips zum spoofen nutzt, haste quasi keine chance... 3 synflooding ist ne fiese sache. kannst du vermeiden in dem du zum einen die tcp-connection-tracking option benutzt, zum anderen deine tcp-backlog option minimierst (nicht zu viele tcp-syns annehmen und möglichst früh verwerfen) 4 gegen ddos: versuchs gar net erst... dein rechner ist für ddos-angriffe gut geschützt... und zwar, weil er einfach zu uninteressant ist. der aufwand für den angreifer ist zu groß, um "einfach mal jemanden" zu dos'en... das macht man mit microsoft, ebay, gmx oder sonstwem... POLICIES: du definierst alle chains deines paketfilters mit der policiy "DROP" und erlaubst selektiv... das ist der übliche weg LOGGING: ich mache es so: -> logging-chain anlegen und loglevel festlegen $IPTABLES -N nirvana -> log-prefix für gedropte tcp-pakete $IPTABLES -A nirvana -p TCP -j LOG --log-level debug --log-prefix "NIRVANA: TCP " -> log-prefix für gedropte udp-pakete $IPTABLES -A nirvana -p UDP -j LOG --log-level debug --log-prefix "NIRVANA: UDP " icmp logge ich nicht, drope es aber... das ist zu nervig, weils die logfiles zum glühen bringt als letzte regel in der drop-chain: alles wegwerfen $IPTABLES -A nirvana -j DROP alles, was du nun im verlauf des skriptes nicht eh schon mit "-j DROP" wegwirfst, verschiebst du am ende des skripts mit folgenden zeilen in die DROPCHAIN $IPTABLES -A INPUT -j nirvana $IPTABLES -A OUTPUT -j nirvana $IPTABLES -A FORWARD -j nirvana um das ganze nun noch in ein file und nicht auf die console zu loggen, sind zwei schritte nötig: linux loggt in sogenannte facilitys... eines davon ist der kernel, wohin auch iptables loggt... also ab in die /etc/syslog.conf: ergänzen: kern.=debug -/var/log/firewall.log suchen und ggfs. entfernen: kern.* /dev/console dann /etc/init.d/sysklogd restart (debian) Gruß, Markus |
|
|
||
08.12.2005, 10:12
...neu hier
Themenstarter Beiträge: 3 |
#3
Ein verspätetes Danke für deine Antwort.
|
|
|
Mittlerweile habe ich einige Dokumentationen dazu gelesen und viele Scripte haben ( als sozusagen Schmanckerl ) ein bis 2 Reglen zum blocken bekannter Angriffe , abschächen von ddos , erkennen und abschwächen von synflooding , anti spoofing , nmap erkennen usw .
In der Tat könnte ich natürlich einiges einfach über die Policies blocken und nur die notwendigsten Sachen erlauben , ( Hab ich im letzten Tread dieser Art hier im Forum gelsesen => Boardsuche verwendet :-) ) aber da fehlt mir erstens etwas der kick und 2tens würde ich diese Angriffe / Übergriffe oder was auch immer gerne mitloggen.
Wie schon erwähnt habe ich bereits einiges zu dem Thema gefunden aber das ist quasi zusammengestückelt aus 20 scripten diversen Googelabfragen und 3 Tutorials und für meinen geschmack einfach ein wenig mickrig im Vergleich dazu was es alles gibt . ( Ja Snort wäre teilweise besser geeignet , aber wäre nur ein zusätzlicher angreifbarer Dienst denn ich nicht auf meiner Firewall zum Internet haben möchte ).
Hat sich schonmal jemand mit dem Thema beschäftigt und vor allem eine Seite oder eine Dokumentation gefunden die sich spezielle mit Angriffstechniken und deren erkennen ( loggen ) und blocken per Iptables beschäftigt ?
Gruß Sono