Re: Blockieren von IP Adressen

To: debian-user-german@lists.debian.org
Subject: Re: Blockieren von IP Adressen
From: debian-mailing-lists@thomas.freit.ag
Date: Thu, 25 Aug 2022 22:40:21 +0200
Message-id: <[🔎] 6ea181dc-43b7-da42-3f80-5692a5211a42@thomas.freit.ag>
In-reply-to: <[🔎] 12dc59b5-74d7-1247-eaa4-3b753e6b8bcd@comparat.de>
References: <[🔎] 51357701-c0b0-f330-9eaf-c161baa0471c@comparat.de> <[🔎] f1715e9d-de9b-5b92-6ecf-d415240197d1@thomas.freit.ag> <[🔎] 12dc59b5-74d7-1247-eaa4-3b753e6b8bcd@comparat.de>

Hallo Manfred,

On 25.08.22 05:17, Manfred Rebentisch wrote:
>> Wie viel Aufwand du darein stecken willst, musst Du Dir aber überlegen, diese
>> Anfragen kommen in der Regel automatisiert aus irgendwelchen Botnetzen und bekommen
>> von deinem Webserver einen entsprechenden HTTP Status (404 Not Found) und das war es.
>> Die IP kommt nicht so schnell wieder, das Sperren hat also wenig Effekt.

> Wahrscheinlich hast Du recht, dass ich fail2ban noch stärker nutzen
> könnte. Auch meine IP-Blocks gelten immer für 10 Minuten und verhindern
> genauso, wie bei fail2ban massenweise folgende Zugriffe auch über andere
> Ports. Bei meinem System kann ich zur Laufzeit URLs rein- oder rausnehmen.

Ich habe bei unterschiedlichen Diensten da sehr gemischte Erfahrungen gemacht.
Mein Mailserver (SMTP) ist seit Jahren Ziel von Password-Probing, seit ca. 2 Jahren
kommen in der Regel innerhalb weniger Tage nur sehr wenige Versuche von einer IP,
eher ein Versuch pro IP. Da bringt mir ein Blocken mit Fail2Ban quasi nichts. IMAPS
wird nahezu nicht bei Password-Probing verwendet.

SSH wird immer wieder versucht, hier auch häufiger von wiederkehrenden IPs (da
bin ich allerdings sehr restriktiv mit erlaubten Ranges und sehe eigentlich nur
Anfragen die vorab im tcpwrapper hängen bleiben.

Web (ich mache nur HTTPS) wird relativ viel gescannt, vorallem auf aktuelle (und
oft auch erschreckend alte) Lücken in gängiger Blog- oder Shopsoftware, hier auch
einmal die Latte an Exploits/Lücken von einer IP. Da bringt Blocken beim ersten
Zugriff aber auch eher nur ein wenig Loghygiene (also weniger 404er) in den Logs.
Ich nutze mod_defensive auch tendenziell eher dazu um weniger Müll in den Logs zu
haben und interessante Dinge eher zu sehen.

>> Für beides gilt: Potenziell sperrst Du mit solchen Mechanismen auch valide Nutzer
>> aus (die über dynamische IP-Ranges kommen), zu lange Blocken ist daher nicht
>> ratsam, kurz blocken bringt nicht übermäßig viel. In dem Zusammenhang ist es
>> praktisch, dass fail2ban bei mehr Verstößen auch die Sperrzeit erhöhen kann,
>> damit kann man zunächst kurz sperren und dann verlängern (siehe z.B.:
>> https://visei.com/2020/05/incremental-banning-with-fail2ban/). Das geht auch
>> über verschiedene Dienste, die Du mit fail2ban überwachst hinweg (und damit
>> erwischt man dann eher sinnvoll zu sperrende IPs).

> Valide Nutzer werden mit meiner Methode nicht ausgesperrt. Sämtliche
> Zugriffe auf PHP-Urls sind Angriffe, da bei mir kein PHP installiert ist.

Wie schon andere geschrieben haben: Du betreibst potenziell Aufwand, der sich
nicht lohnt, der erste Request wird sowieso durchschlagen und wie viel du potenziell
blockst ist fraglich (ich schätze, dass bei mir maximal 10% von Folgerequests
geblockt werden, weil in den letzten Jahren eben nicht mehr viel von einer IP aus
passiert.

Aber Spaß am Gerät ist immer ein valider Grund sich mit so etwas
auseinanderzusetzen. ;-)

-- 
hth,
Thomas

Reply to:

References:
- Blockieren von IP Adressen
  - From: Manfred Rebentisch <debianlist@comparat.de>
- Re: Blockieren von IP Adressen
  - From: debian-mailing-lists@thomas.freit.ag
- Re: Blockieren von IP Adressen
  - From: Manfred Rebentisch <debianlist@comparat.de>

Prev by Date: Re: Blockieren von IP Adressen
Next by Date: Pakete werden zurückgehalten
Previous by thread: Re: Blockieren von IP Adressen
Next by thread: Re: Blockieren von IP Adressen
Index(es):
- Date
- Thread