suche iptables regeln zum loggen und blocken bekannter Angriffe

#1 Hallo , ich beschäftige mich zur Zeit etwas mit Iptables.

Mittlerweile habe ich einige Dokumentationen dazu gelesen und viele Scripte haben ( als sozusagen Schmanckerl ) ein bis 2 Reglen zum blocken bekannter Angriffe , abschächen von ddos , erkennen und abschwächen von synflooding , anti spoofing , nmap erkennen usw .

In der Tat könnte ich natürlich einiges einfach über die Policies blocken und nur die notwendigsten Sachen erlauben , ( Hab ich im letzten Tread dieser Art hier im Forum gelsesen => Boardsuche verwendet :-) ) aber da fehlt mir erstens etwas der kick und 2tens würde ich diese Angriffe / Übergriffe oder was auch immer gerne mitloggen.

Wie schon erwähnt habe ich bereits einiges zu dem Thema gefunden aber das ist quasi zusammengestückelt aus 20 scripten diversen Googelabfragen und 3 Tutorials und für meinen geschmack einfach ein wenig mickrig im Vergleich dazu was es alles gibt . ( Ja Snort wäre teilweise besser geeignet , aber wäre nur ein zusätzlicher angreifbarer Dienst denn ich nicht auf meiner Firewall zum Internet haben möchte ).

Hat sich schonmal jemand mit dem Thema beschäftigt und vor allem eine Seite oder eine Dokumentation gefunden die sich spezielle mit Angriffstechniken und deren erkennen ( loggen ) und blocken per Iptables beschäftigt ?

Gruß Sono

#2

Zitat

sonos postete
Hallo , ich beschäftige mich zur Zeit etwas mit Iptables.

Mittlerweile habe ich einige Dokumentationen dazu gelesen und viele Scripte haben ( als sozusagen Schmanckerl ) ein bis 2 Reglen zum blocken bekannter Angriffe , abschächen von ddos , erkennen und abschwächen von synflooding , anti spoofing , nmap erkennen usw .

In der Tat könnte ich natürlich einiges einfach über die Policies blocken und nur die notwendigsten Sachen erlauben , ( Hab ich im letzten Tread dieser Art hier im Forum gelsesen => Boardsuche verwendet :-) ) aber da fehlt mir erstens etwas der kick und 2tens würde ich diese Angriffe / Übergriffe oder was auch immer gerne mitloggen.

Wie schon erwähnt habe ich bereits einiges zu dem Thema gefunden aber das ist quasi zusammengestückelt aus 20 scripten diversen Googelabfragen und 3 Tutorials und für meinen geschmack einfach ein wenig mickrig im Vergleich dazu was es alles gibt . ( Ja Snort wäre teilweise besser geeignet , aber wäre nur ein zusätzlicher angreifbarer Dienst denn ich nicht auf meiner Firewall zum Internet haben möchte ).

Hat sich schonmal jemand mit dem Thema beschäftigt und vor allem eine Seite oder eine Dokumentation gefunden die sich spezielle mit Angriffstechniken und deren erkennen ( loggen ) und blocken per Iptables beschäftigt ?

Gruß Sono

so, ich hoffe, des hilft...

deine wahl war schon richtig! --> iptables
1. iptables erkennt keine angriffe... es behandelt ip-pakete nach von dir erstellten regeln. du kannst logfiles auswerten mit auditing-tools oder ein ids wie snort verwenden... das sagt dir mehr zum thema "angriffsversuche"
2. spoofing zu erkennen ist ne zweischneidige sache:
2.1: wenn du pakete an deinem externen interface siehst, die private adressen als quelle oder ziel haben (also ips aus folgenden netzen
CLASS_A=10.0.0.0/8
CLASS_B=172.16.0.0/12
CLASS_C=192.168.0.0/16
kannste die mit dem kommentar "spoofing-attempt" wegwerfen
2.2 wenn jemand eine scheinbar valide ipadresse nutzt und dich connected, kannste natürlich net wissen, ob des die is, die er tatsächlich von seinem provider hat... also wenn jemand öffentliche ips zum spoofen nutzt, haste quasi keine chance...

3 synflooding ist ne fiese sache. kannst du vermeiden in dem du zum einen die tcp-connection-tracking option benutzt, zum anderen deine tcp-backlog option minimierst (nicht zu viele tcp-syns annehmen und möglichst früh verwerfen)

4 gegen ddos: versuchs gar net erst... dein rechner ist für ddos-angriffe gut geschützt... und zwar, weil er einfach zu uninteressant ist. der aufwand für den angreifer ist zu groß, um "einfach mal jemanden" zu dos'en... das macht man mit microsoft, ebay, gmx oder sonstwem...

POLICIES:
du definierst alle chains deines paketfilters mit der policiy "DROP" und erlaubst selektiv... das ist der übliche weg

LOGGING:
ich mache es so:
-> logging-chain anlegen und loglevel festlegen
$IPTABLES -N nirvana
-> log-prefix für gedropte tcp-pakete
$IPTABLES -A nirvana -p TCP -j LOG --log-level debug --log-prefix "NIRVANA: TCP "
-> log-prefix für gedropte udp-pakete
$IPTABLES -A nirvana -p UDP -j LOG --log-level debug --log-prefix "NIRVANA: UDP "
icmp logge ich nicht, drope es aber... das ist zu nervig, weils die logfiles zum glühen bringt
als letzte regel in der drop-chain: alles wegwerfen
$IPTABLES -A nirvana -j DROP

alles, was du nun im verlauf des skriptes nicht eh schon mit "-j DROP" wegwirfst, verschiebst du am ende des skripts mit folgenden zeilen in die DROPCHAIN
$IPTABLES -A INPUT -j nirvana
$IPTABLES -A OUTPUT -j nirvana
$IPTABLES -A FORWARD -j nirvana

um das ganze nun noch in ein file und nicht auf die console zu loggen, sind zwei schritte nötig:
linux loggt in sogenannte facilitys... eines davon ist der kernel, wohin auch iptables loggt... also ab in die /etc/syslog.conf:
ergänzen:
kern.=debug -/var/log/firewall.log

suchen und ggfs. entfernen:
kern.* /dev/console
dann /etc/init.d/sysklogd restart (debian)


Gruß, Markus

#3 Ein verspätetes Danke für deine Antwort.