Einige allgemeine Fragen zu eurem Service

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
BraveSurfer
Beiträge: 31
Registriert: 14. Nov 2012, 20:39

Einige allgemeine Fragen zu eurem Service

Beitrag von BraveSurfer »

Hallo,

habe leider eurer Projekt erst heute entdeckt und mich nach kurzer Einarbeitung nun mal zunächst mit einem Server eingetragen.
Ich habe mich auch schon im Forum umgesehen jedoch nicht auf alles eine Frage gefunden bzw. schließe auch nicht aus das ich die Antwort mal übersehen habe.

Folgende Fragen hätte ich noch zu blocklist.de

Ich importiere für den betreffenden Server auch bereits eure Blacklist. Nun stelle ich mir die Frage in welchen Abständen ich den entsprechenden Cronjob laufen lassen soll. Derzeit hole ich die Liste jede 15 Minuten. Wird diese in Echtzeit erweitert bzw. macht es Sinn in längeren/kürzeren Intervallen zu importieren?

Derzeit blockt Fail2Ban bei mir IPs für 24 Stunden. Auf eurer Liste landen die IPs für 48 Stunden wenn ich das recht verstanden habe. Wenn nun während dieser 48 Stunden eine IP erneut gemeldet wird landet sie vermutlich nicht auf eurer Liste, da sie da ja schon ist, bei mir ist Sie aber nach 24 Stunden gelöscht. Sehe ich das in diesem Fall richtig dass ich hier sinnvoller Weise Fail2Ban anweise auch für 48 Stunden zu blocken oder mache ich da jetzt einen Denkfehler und man kann lediglich die letzten 24 Stunden auf eurer Seite einsehen, tatsächlich verschwindet die IP aber wieder nach 1 Stunde aus der Blacklist? In eurer Konfiguration für den jail "Blocklist" habt Ihr ja 1 Stunde als Bantime angegeben.

Wie geht ihr mit Reports um die mein Server euch schickt, die ihr aber nicht auswertet? Macht das Probleme und ich sollte diese auch deaktivieren oder stört das nicht?

Im übrigen macht dies hier alles einen sehr guten und durchdachten Eindruck, ich bin bislang begeistert von diesem Projekt und hoffe es wird noch wachsen.

Wirklich klasse Arbeit die ihr da vollbringt, vielen Dank!
Mit freundlichen Grüßen

BraveSurfer

Benutzeravatar
Martin
Beiträge: 402
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von Martin »

Hallo BraceSurfer,

vielen Dank für das Lob!

Wenn eine IP gemeldet an blocklist gemeldet wurde, bleibt diese 48 Stunden in der Blacklist. Diese 48 Stunden gehen immer von der letzten Attacke aus.
Wenn also eine IP alle 49 Stunden eine Attacke ausführt, ist sie nur eine Stunde nicht gelistet.


Die IP-Listen (export) und die RBL-Listen werden alle 10 Minuten aktualisiert.
15 Minuten ist ein guter Wert. Unter 10 Minuten bringt nichts.
Ansonsten kannst du auch über:
http://api.blocklist.de/getlast.php?time=hh:mm
dir alle neuen IPs holen, welche seit hh:mm hinzugekommen sind.
Damit musst du dann nicht die komplette Liste importieren, was je nach Liste ein paar tausend IP-Adressen beinhaltet.
Mit z.B. http://api.blocklist.de/getlast.php?tim ... ervice=ssh
bekommst du alle IP-Adressen, welche nach 19 Uhr bei SSH-Attacken auf die RBL gestellt wurden.


Du kannst auf deinem Server selbst eine niedrigere Ban-Time setzten. Wenn du die IP öfters reportest, weil sie öfters angegriffen hat, wird dies vermerkt, aber nur alle 24 Stunden ein Abuse-Report an den Provider gesendet.
Wenn die IP die 48 Stunden nach der letzten Attacke noch nicht erreicht hat, verlängerst du diese dann so gesehen wieder. Da sie ja bereits auf der Liste stand.... es ist daher egal wie hoch du die bantime stellst, 24 Stunden sind ok, da je nach Service viele IPs dynamisch sind und somit nach 24 Stunden der infizierte PC/Angreifer eine neue IP hat.

Dienste, welche wir nicht verarbeiten können, werden automatisch gedroppt und werden auch nicht ausgewertet.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

BraveSurfer
Beiträge: 31
Registriert: 14. Nov 2012, 20:39

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von BraveSurfer »

Hallo Martin,

danke für die schnelle uns ausführliche Antwort. Dann werde ich die Werte mal so belassen!

Ich hatte heute am frühen Morgen nachfolgende Fehlermeldung zu verzeichnen:
Warning: file_get_contents(https://api.blocklist.de/getlast.php?time=06:00): failed to open stream: Das Netzwerk ist nicht erreichbar in /etc/fail2ban/blocklist.php on line 3
Offensichtlich hatte da euer System Probleme, ansonsten scheint die Liste jedoch bisher jede 15 Minuten aktualisiert zu werden.

Durch die Zeilen
$time = date("H:i",time()-3600);
$src = file_get_contents("https://api.blocklist.de/getlast.php?time=".$time);
in der blocklist.php sollte hierbei, wenn ich das richtig interpretiere ja nur jeweils die letzte Stunde angefordert werden, korrekt?
D.h. den Wert könnte ich auch noch etwas niedriger setzen (sinnvoller weiße auf einen Wert nicht unter 900 bei einen Abruf alle 15 Minuten)

Die Option nur bestimmte Teile der Liste herunter zu laden (z.b. ssh) wäre dazu gedacht wenn ich erreichen möchte dass eben nicht alle auf der Liste aufgeführten IPs geblockt werden oder gibt es da noch einen weiteren/anderen sinnvollen Anwendungsfall?

"Leider" hat mein Testsystem bislang noch keinen Übergriffsversuch zu verzeichnen und ich scheue mich derzeit selbst einen zu provozieren.
Könnte ich mir hierbei sicher sein, dass meine in der Whitelist eingetragene IP des Zugangsproviders nicht auf der Liste landet, sofern durch mein eigenes System gemeldet?

http://api.blocklist.de/getlast.php?time=hh:mm

Werde dann wohl sukzessive die ersten Server einbinden, das Ganze macht mir alles einen sehr durchdachten Eindruck!

Nachtrag:

Nach den ersten Tests ist mir nicht zu 100% klar wie ich eine Delist IP aus der Blocklist bekomme, sofern diese bereits bei mir eingetragen ist.
Habe mir dazu folgendes überlegt:

20 Minuten warten bis die IP sicher aus eurer Liste ausgetragen ist (wird ja mit ca. 10 Minuten angegeben).
Dann fail2ban neu starten und so die Liste komplett leeren und in der Folge mittels dem Wert von 48 Stunden (172800) die Liste wieder mittels blocklist.php
($time = date("H:i",time()-172800);
$src = file_get_contents("https://api.blocklist.de/getlast.php?time=".$time);)
nachladen.

Ist das so sinnvoll oder gibt es hier eine praktikablere Lösung?
Mit freundlichen Grüßen

BraveSurfer

Benutzeravatar
Martin
Beiträge: 402
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von Martin »

Wenn eine IP per Delist ausgetragen wurde, dauert es 10 Minuten, bis die RBL-Daten/Export und getlast.php-Cache-Daten erneuert wurden.
Also wenn man es mit 20 Minuten einstellt, ist man auf der sicheren Seite, das die IP nicht mehr in der Liste ist.

Zwischen 22:30 und 23 Uhr, war der Webserver auch kurz nicht erreichbar, warum analysiere ich noch. Evtl. Problem im Netzwerk.
In den nächsten Wochen, kommt ein zweiter, das die Daten redundant vorliegen.
Ansonsten einfach in einer Schleife die Daten holen:

Code: Alles auswählen

while(!$src = file_get_contents($url))
  {
     # konnte Daten nicht holen, warte 30 Sec....
     sleep(30);
  }
Also Bantime auf 10 Minuten stellen und Skript alle 10 Minuten ausführen, dann ist eine IP maximal 10 Minuten gelistet, wenn es ein false-positive war und Sie direkt wieder ausgetragen wurde.

Ansonsten kannst du auch z.b. die Usernamen in der /etc/fail2ban/filter.d/sshxx...conf bei ignoreregex = eintragen, dann ignoriert Fail2Ban Fehl-Logins mit diesen Usernamen....
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

BraveSurfer
Beiträge: 31
Registriert: 14. Nov 2012, 20:39

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von BraveSurfer »

Martin hat geschrieben: Ansonsten kannst du auch z.b. die Usernamen in der /etc/fail2ban/filter.d/sshxx...conf bei ignoreregex = eintragen, dann ignoriert Fail2Ban Fehl-Logins mit diesen Usernamen....


Danke Martin für deine Mühen!

Verständnisfrage hierzu: Wird die ignoreregex sofort nach Eintrag berücksichtigt ohne Neustart/Restart von fail2ban, da mir ja ansonsten alle derzeit gesperrten IPs verloren gehen würden.
Mit freundlichen Grüßen

BraveSurfer

Benutzeravatar
Martin
Beiträge: 402
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von Martin »

Hi,
das weiss ich nicht genau.
Ich glaub man muss Fail2Ban reloaden/restarten.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

BraveSurfer
Beiträge: 31
Registriert: 14. Nov 2012, 20:39

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von BraveSurfer »

O.k da muss ich mir noch eine Lösung überlegen. Leider gibts zumindest jetzt zu Beginn wohl noch etliche Nutzer die sich selbst aussperren. Wenn ich es erst 2-3 Stunden später merke und ein reload/restart mache geht mir ja die eigenen Fail2Ban Sperren wieder verloren (nicht so schlimm da ja dann auch in der Blocklist vorhanden) und die der Blocklist zunächst auch. Zwar wird die ja wieder nachgeladen aber im Moment bei mir eben jeweils nur die letzte Stunde.
Ich werde dann wohl jeweils nicht umher kommen nach solch einer Aktion einmalig die gesamte Liste wieder einzuladen.
Mit freundlichen Grüßen

BraveSurfer

Mæstro

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von Mæstro »

Hoffe habe das jetzt alles richtig verstanden, so wie es aussieht scheint der Schlüssel für dich iptables-save und iptables-restore zu sein. Schau dir dafür mal diese Anleitung an, vielleicht kannst du damit etwas anfangen. Sehr praktisch falls der Server mal neustartet.

Übrigens habe ich gerade fail2ban neustarten können ohne dass die Einträge bei iptables verschwunden sind.

PS: Ich weiß, das Thema ist gut einen Monat alt, aber ich sehe sehr oft Themen die vielleicht auch interessant für andere sind und wo sich plötzlich keiner mehr drin meldet. Daher sorry für's Pushen. :oops:

BraveSurfer
Beiträge: 31
Registriert: 14. Nov 2012, 20:39

Re: Einige allgemeine Fragen zu eurem Service

Beitrag von BraveSurfer »

Danke, werde ich mir auf jeden Fall mal ansehen!
Mit freundlichen Grüßen

BraveSurfer

Antworten