Crowdsec anstatt Fail2Ban [GELÖST]

[KeksDipp]

Ich würde es sehr begrüßen wenn auf dauer Fail2Ban durch Crowdsec abgelöst werden würde als standart.

[24unix]

standart

Immerhin hast Du es klein geschrieben. Macht zwar keinen Sinn, ist aber grammatikalisch korrekt …

[lrab]

Ich finde CrowdSec nicht für jeden die beste Lösung.

Das System ist kollaborativ, aber manche wollen einfach lokal entscheiden und sich nicht an externe Infrastruktur binden.

Gerade aus datenschutzrechtlicher Sicht ists besonders problematisch: Auch wenn es sich um „böse“ IP-Adressen handelt sind IP-Adressen nach europäischem Datenschutzrecht personenbezogene Daten. Wer also IPs an CrowdSec meldet, überträgt personenbezogene Daten an Dritte. Das ist rechtlich nicht ganz unproblematisch, besonders bei kommerzieller Nutzung ohne Rechtsgrundlage.

Und ganz ehrlich: Für viele Zwecke reicht ein simples Fail2Ban völlig aus. Läuft lokal, ist einfach, transparent und man weiß genau, was rausgeht: nämlich nix. Wer dennoch von externen Informationen profitieren will, kann das auch ohne CrowdSec umsetzen. z.B. über Blocklisten von AbuseIPDB, FireHOL oder eigene Blocklisten, eingebunden über ipset oder nftables.

CrowdSec hat sicher seine Stärken, aber es ist eben nicht für jeden die bessere Wahl.

[Jolinar]

Ich würde es sehr begrüßen wenn auf dauer Fail2Ban durch Crowdsec abgelöst werden würde als standart.

Ich sage mal voraus, daß dieser Funktionswunsch nicht umgesetzt werden wird. Den Grund dafür hat @lrab sehr schön zusammengefaßt:

Gerade aus datenschutzrechtlicher Sicht ists besonders problematisch: Auch wenn es sich um „böse“ IP-Adressen handelt sind IP-Adressen nach europäischem Datenschutzrecht personenbezogene Daten. Wer also IPs an CrowdSec meldet, überträgt personenbezogene Daten an Dritte. Das ist rechtlich nicht ganz unproblematisch, besonders bei kommerzieller Nutzung ohne Rechtsgrundlage.

[Tobi7889]

Sowohl gewerblich als auch Privat in Europa wirklich kritisch. Denn eine Einwilligung hierfür müsste theoretisch vom Nutzer eingeholt werden -> Da die Datenübergabe aber bereits bei Verbindung erfolgt ist das recht schwierig und rechtlich ein ganz heißes Eisen. Gerade wenn es zu false-postives kommt und es nachvollziehbar ist und dadurch Probleme für den Anwender entstehen auf mehreren Instanzen: Wer haftet oder übernimmt den Schaden?

Die Lösung selbst ist mega gut, ich finde das extrem Wertvoll -> Aber eben Datenschutzrechtlich in Europa unendlich schwer. Mein Anwalt wollte mir dafür auch keine Empfehlung aussprechen in der kommerziellen Nutzung.

[hase]

Hi,
soweit wie ich das erlesen habe, werden IPs nur übermittelt, wenn Crowdsec mit der Crowdsec Console verbunden ist. Crowdsec kann auch ohne Verbindung in die Cloud Console genutzt werden.
Sollte also nichts dagegen Sprechen und macht euch nicht zu sehr verrückt

[lrab]

Hi,
soweit wie ich das erlesen habe, werden IPs nur übermittelt, wenn Crowdsec mit der Crowdsec Console verbunden ist. Crowdsec kann auch ohne Verbindung in die Cloud Console genutzt werden.
Sollte also nichts dagegen Sprechen und macht euch nicht zu sehr verrückt

Aus der CrowdSec Seite:

Community Blocklist (Lite)
Free users that are not actively contributing to the network or that have been flagged as cheating/abusing the system will receive the Community Blocklist (Lite).
This Blocklist is capped at 3 thousand IPs.

Das bedeutet im Klartext: Wer CrowdSec nur passiv/lokal nutzen will, bekommt nicht den vollen Nutzen der Schwarmintelligenz. Der eigentliche Mehrwert, eine aktuelle, kollaborative IP-Liste zu erhalten steht also nur denen offen, die selbst Daten einspeisen.

Dann kann man auch gleich bei Fail2Ban bleiben. Das läuft lokal und blockiert genauso sauber anhand eigener Logs.

[Jolinar]

Dann kann man auch gleich bei Fail2Ban bleiben. Das läuft lokal und blockiert genauso sauber anhand eigener Logs.

Eigentlich sogar zwingend, wenn man auf die Schwarmintelligenz verzichten will/muß...Wenn die Lite BL nach 3000 Einträgen einfach kappt, dann steht das System letztlich völlig offen...

[KeksDipp]

Immerhin hast Du es klein geschrieben. Macht zwar keinen Sinn, ist aber grammatikalisch korrekt …

Es freut mich, wenn du dich jetzt besser fühlst.

An alle anderen: Danke für den konstruktiven Input. Das macht natürlich Sinn.
Nun zu meiner Frage bezüglich der generellen Nutzung solcher Listen wie weiter oben beschrieben:

z. B. über Blocklisten von AbuseIPDB, FireHOL oder eigene Blocklisten, eingebunden über ipset oder nftables.

Ist das nicht auch datenschutzrechtlich problematisch? Die IPs auf diesen Listen sind doch personenbezogen.
Verarbeite ich damit nicht personenbezogene Daten ohne Zustimmung?

[lrab]

Ist das nicht auch datenschutzrechtlich problematisch? Die IPs auf diesen Listen sind doch personenbezogen.
Verarbeite ich damit nicht personenbezogene Daten ohne Zustimmung?

Naja du musst unterscheiden zwischen der Weitergabe und der Verarbeitung:
Die Verarbeitung von IP-Adressen (z. B. um eine Verbindung zu blockieren) ist laut DSGVO erlaubt, wenn ein berechtigtes Interesse besteht. In unserem Fall der Schutz deiner Systeme vor Angriffen und Missbrauch. Deshalb dürfen wir ja auch Fail2Ban und Blocklisten nutzen.

Anders sieht’s aus, wenn du selbst IPs weitergibst. Dann gibst du personenbezogene Daten an Dritte weiter und das erfordert eine ausdrückliche Einwilligung des Nutzers. Kann auch sein das mit sehr gute Begründung ein berechtigtes Interesse vorliegt, aber kann das schlecht beurteilen. Da sollte man sich sowieso besser juristisch absichern.

[tab-kh]

Vieles ist "datenschutzechtlich problematisch" aber gleichzeitig technisch notwendig oder zumindest berechtigtes Interesse. Wenn jemand meine Website aufruft, dann bekommt er die Antwort auch an seine IP-Adresse und nicht per Broadcast über ein /24 Subnetz . Vorschriften widersprechen sich seit Jahrhunderten gegenseitig, in der Regel hat dann aber eine davon die höhere Priorität. Ich darf niemandem einfach so den Arm brechen, aber wenn er mich oder andere mit einem Messer angreift darf ich das eventuell in Kauf nehmen .

Außerdem, solange große Hostinganbieter gemeinsam mit anderen Hostinganbietern entsprechende IP-basierte Listen ungestraft nutzen und mit Daten (IP-Adressen!) füttern dürfen, warum sollte es mir dann verboten sein, mir eine IP zu merken und zu blocken, über die versucht wird in meinen Server einzudringen? Klar, ich könnte alternativ Anzeige gegen unbekannt stellen mit einer anonymisierten IP, aber das wäre wohl auch nicht besonders zielführend.

Andererseits wird mich wahrscheinlich der Angreifer auch nicht unbedingt anzeigen und den Nachweis führen wollen, dass das zum gegebenen Zeitpunkt seine IP-Adresse war. Ansonsten auch gut, erspart der Staatsanwaltschaft die Nachforschungen wenn das Geständnis frei Haus geliefert wird.

[Tobi]

Wenn es euer eigener Server ist könnt ihr mit dem tun und lassen was ihr wollt. Ohne Rücksicht auf irgendwelche Rechtsvorschriften könnt ihr das komplette Internet von eurem Server aussperren.
Warum sollte das in irgendeiner Form datenschutzrechtlich relevant sein wenn ihr Liesbeth Müller aus Kleinkleckerau aussperrt?
Auf einem Server gilt erstmal Hausrecht.

[tab-kh]

Naja, es gibt da mindestens einen Datenschutz-Extremisten im Internet, der tatsächlich die Ansicht vertritt, dass schon das nicht anonymisierte speichern einer IP in irgendwelchen Logfiles, z.B. access.log, ein Verstoß gegen die DSGVO sei. Der Server dürfte die vollständige IP maximal im RAM speichern, bis die Verarbeitung fertig ist, in Logs nur anonymisiert. . Da wäre der Server ja offen wie ein Scheunentor. Man dürfte die IP ja auch nicht in der Firewall sperren, es könnte sich sonst ja jemand die Firewall-Regeln anschauen und die splitternackte IP zu sehen bekommen und das geht natürlich gar nicht.

Aber bevor er mir da kein schlüssiges Sicherheitskonzept vorlegt, wie der Schutz des Servers vor Angreifern - eventuell mit mit von ihm zu liefernden Modifikationen der relevanten Systemprogramme - dann trotzdem gewährleistet ist, kann er mich mal im Mondschein besuchen. Er schwafelt da von Hashes der IP, die für Logs, fail2ban & Co benutzt werden könnten statt der IP selbst. Na dann immer her mit den Modifikationen, schwafeln kann jeder .

Vielleicht tragen wir dann auch gleich die Hashes unserer Server IPs statt der IPs im DNS der Domains ein . Irgendwann sind wir dann bestimmt soweit, dass der Hash der IP ein persönliches Datum ist. Aber kein Problem, dann hashen wir halt den Hash .