Re: Sinnvoll fail2ban und SSH-pubkey Authentifizierung kombinieren?

["benjamin22@gmx.de" <benjamin22@gmx.de>]

Am 01.06.2012 12:26, schrieb David Raab:
> On 06/01/2012 09:38 AM, Michael Stummvoll wrote:
> > fail2ban und ähnliche "nach x loginversuchen sperren"-Ansätze
> > haben bei diensten über Internet IMHO sowieso keinen Sicherheitsgewinn.
> > Ein Angreifer hat bei einem guten Passwort sowieso keine reale Chance,
> > da per bruteforce oder dictionary-angriff reinzukommen, auch ohne
> > diese Systeme.
> Ne, das ist so definitiv Falsch. Grundsätzlich ist absolut alles
> knackbar. Genauso ist jede Verschlüsselung knackbar. Die Sicherheit
> besteht nur aus zwei dingen. Die Schlüssel Sicherheit und ebenfalls die
> dauer wie lange es dauert zum entschlüsseln bzw. alle Kombinationen
> (Brute-Force) auszuprobieren.
>
> Grundsätzlich wenn man eine Brute-Force Attacke startet hat man
> irgendwann das richtige passwort. Zu sagen "hat sowieso keine chance"
> ist da eher volkommen falsch.
>
> Und wenn Fail2Ban sagen wir nach bereits 3 Fehlversuchen einen Benutzer
> auch nur für eine Minute sperrt, dann erhöht das die die Zeitdauer von
> Brute-Force Attacken so enorm das es sogar ein richtig großer
> Sicherheitsgewinn ist den man hier aktiviert.
nicht nur das, du kannst dir in f2ban auch einstellen das du eine email 
bekommst mit der ip des angreifers.
desweiteren kannst du zusätzlich in den iptables ( u.U. auch in f2ban ) 
ipranges aus asien / china usw direkt aussperren

ich persönlich stehe total auf die kombination von fail2ban ( maximal 5 
versuche in 30 min )
und einer gut gepflegten iptable in die bestimmte ipranges ab werk 
reinkomen (außer du hast kunden
welche in der asiatischen region sind dann sollte man die range 
vielleicht anders gestalten *G)

desweiteren kannst du in f2ban auch eine whitelist für domains 
einrichten die nicht geblockt werden sollen
wenn ich das noch richtig weis. dadurch kannst du hergehen und dich 
gegen ban schützen