Re: Blockieren von IP Adressen

To: debian-user-german@lists.debian.org
Subject: Re: Blockieren von IP Adressen
From: Manfred Rebentisch <debianlist@comparat.de>
Date: Thu, 25 Aug 2022 05:17:43 +0200
Message-id: <[🔎] 12dc59b5-74d7-1247-eaa4-3b753e6b8bcd@comparat.de>
In-reply-to: <[🔎] f1715e9d-de9b-5b92-6ecf-d415240197d1@thomas.freit.ag>
References: <[🔎] 51357701-c0b0-f330-9eaf-c161baa0471c@comparat.de> <[🔎] f1715e9d-de9b-5b92-6ecf-d415240197d1@thomas.freit.ag>

Hallo Thomas,
danke für Deine lange Antwort.

fail2ban wird bei mir seit langem eingesetzt.

Am 24.08.22 um 17:13 schrieb debian-mailing-lists@thomas.freit.ag:
> 
> Wie viel Aufwand du darein stecken willst, musst Du Dir aber überlegen, diese
> Anfragen kommen in der Regel automatisiert aus irgendwelchen Botnetzen und bekommen
> von deinem Webserver einen entsprechenden HTTP Status (404 Not Found) und das war es.
> Die IP kommt nicht so schnell wieder, das Sperren hat also wenig Effekt.

Wahrscheinlich hast Du recht, dass ich fail2ban noch stärker nutzen
könnte. Auch meine IP-Blocks gelten immer für 10 Minuten und verhindern
genauso, wie bei fail2ban massenweise folgende Zugriffe auch über andere
Ports. Bei meinem System kann ich zur Laufzeit URLs rein- oder rausnehmen.

> 
> Viele dieser Botnetze landen relativ schnell auf DNS Blacklists. Für Apache httpd
> gibt es ein Modul mod_defensible (https://packages.debian.org/bullseye/libapache2-mod-defensible)
> mit dem Du Requests von solchen IPs auch vorab blocken kannst. Die XBL von SPAMHAUS
> (https://www.spamhaus.org/xbl/) ist kostenlos verfügbar und hat bei mir merklich dafür
> gesorgt, dass weniger Bot-Zugriffe beim Webserver aufschlagen.

Ach ja, das ist eine gute Idee! Muss mal schauen, ob es sowas auch für
NGINX gibt...

> 
> Für beides gilt: Potenziell sperrst Du mit solchen Mechanismen auch valide Nutzer
> aus (die über dynamische IP-Ranges kommen), zu lange Blocken ist daher nicht
> ratsam, kurz blocken bringt nicht übermäßig viel. In dem Zusammenhang ist es
> praktisch, dass fail2ban bei mehr Verstößen auch die Sperrzeit erhöhen kann,
> damit kann man zunächst kurz sperren und dann verlängern (siehe z.B.:
> https://visei.com/2020/05/incremental-banning-with-fail2ban/). Das geht auch
> über verschiedene Dienste, die Du mit fail2ban überwachst hinweg (und damit
> erwischt man dann eher sinnvoll zu sperrende IPs).
> 

Valide Nutzer werden mit meiner Methode nicht ausgesperrt. Sämtliche
Zugriffe auf PHP-Urls sind Angriffe, da bei mir kein PHP installiert ist.



-- 
Manfred Rebentisch

Reply to:

Follow-Ups:
- Re: Blockieren von IP Adressen
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: Blockieren von IP Adressen
  - From: Alexander Reichle-Schmehl <alexander@alphamar.org>
- Re: Blockieren von IP Adressen
  - From: debian-mailing-lists@thomas.freit.ag

References:
- Blockieren von IP Adressen
  - From: Manfred Rebentisch <debianlist@comparat.de>
- Re: Blockieren von IP Adressen
  - From: debian-mailing-lists@thomas.freit.ag

Prev by Date: Re: Blockieren von IP Adressen
Next by Date: Re: Blockieren von IP Adressen
Previous by thread: Re: Blockieren von IP Adressen
Next by thread: Re: Blockieren von IP Adressen
Index(es):
- Date
- Thread