Implementierung einer Firewall-Feinabstimmung auf Log-Ebene

[slowmo]

In Anlehnung an meinen vorherigen Beitrag, der hier zu finden ist:
viewtopic.php?p=48897#p48897

Der Wunsch besteht darin, eine sehr restriktive Konfiguration von fail2ban und iptables basierend auf den Log-Einträgen des Mailservers zu ermöglichen. Konkret sollen fehlgeschlagene Anmeldeversuche direkt zu einer IP-Sperre führen, ohne weitere Schritte oder Verzögerungen. Dies soll nicht nur die Sicherheit erhöhen, sondern auch dazu beitragen, die Log-Dateien sauber zu halten und die Arbeitsbelastung der Administratoren zu reduzieren.

Es ist klar, dass dieser Ansatz möglicherweise dazu führen kann, dass sich legitime Benutzer versehentlich selbst sperren, insbesondere bei der Ersteinrichtung von Konten. Ich will jedoch betonen, dass die Verwendung von Passwort-Managern und von sicheren Passwörtern, die durch Copy & Paste eingefügt werden müssen, eine durchaus positive erzieherische Wirkung hat. Es würde die Nutzer zu einem bewussteren Umgang mit ihren Zugangsdaten anregen.

Die Feinabstimmung der Firewall sollte sich daher in erster Linie auf die Überwachung und Blockierung verdächtiger Aktivitäten in den E-Mail-Protokollen konzentrieren, um eine proaktive Sicherheitsmaßnahme zu gewährleisten und potenzielle Bedrohungen frühzeitig zu neutralisieren.

[Blubby]

Dazu hätte ich eine Ergänzung: Wenn man das schon so macht dann mit ausnahmeregeln. zb für Länder (.de) und/oder auf Provider ebene.

Es wäre kontraproduktiv wenn sich ständig Leute selber sperren wenn sie sich beim Einrichten der Mails mal vertippen.

[Jolinar]

Wenn man das schon so macht dann mit ausnahmeregeln. zb für Länder (.de) und/oder auf Provider ebene.

Dann würdest du aber dein eigenes Sicherheitskonzept teilweise selber unterwandern. Spammer sind ja auch nicht blöde, die holen sich schon seit mehreren Jahren verstärkt geolokalisierte IPs, um ein mögliches Geoblocking zu umgehen. Aus dem selben Grund funktioniert eben dieses Geoblocking auf Länderebene auch nicht mehr zuverlässig.

[slowmo]

Das ist eine steile These, für die es keine Beweise gibt.

Wieder eine dumme Ausrede, um sich vor der Arbeit zu drücken?

Wenn ich mir auf CrowdSec die IPs ansehe, die ich bisher gesperrt habe, sind von hunderten Servern gerade mal drei aus Deutschland dabei. Warum ist das so? --> Genau, weil die Angreifer im Ausland Narrenfreiheit haben. --> In Deutschland kann ich eine Abuse-Mail an den Provider schicken und in kürzester Zeit ist der Server offline und ich kann gegebenenfalls rechtliche Schritte einleiten.

Angreifer, die aus dem Ausland agieren, wissen aber, dass wir praktisch machtlos sind, sie juristisch zu belangen.

[Tobi]

Die meisten Angriffe welche ich erlebe kommen von Hetzner, OHV, AWS und dann kommen erst kleinere lokale Dienstleister.

Aber ganz ehrlich betrachte ich die samt und sonders nicht als „Angreifer“ sondern als gelangweilte Skriptkiddies mit zuviel Freizeit.

Echte Angreifer dürften wesentlich schwerer zu bemerken sein.

[slowmo]

Das ist ein interessanter Aspekt den Du ansprichst.

Ja, man muss die Sicherheitsbedrohungen unterschiedlich einstufen und ernst nehmen. Ich würde sie aber nicht als "Script Kiddies" bezeichnen, denn das Ziel der Angreifer ist das gleiche: Systeme zu infiltrieren und dann zu übernehmen, um ihr kriminelles Botnetz auszubauen. Das Erstaunliche an ihren Methoden ist, dass sie hin und wieder Erfolg haben. Weil die Nutzer zu einfache Zugangsdaten verwendeten (Stichwort: "Man kann sie sich merken" --> Nutzer braucht mehrere Eingabeversuche )

Und sie kosten Zeit und Ressourcen. Auch wenn das Risiko eines Einbruchs (bei vernünftigem PW-Niveau) relativ gering ist, dringen sie rund um die Uhr in meinen Server ein, allkoieren Ressourcen und bringen so ab und zu die Prozesse zum Absturz. Das ist Grund genug, sie beim ersten Anmeldeversuch zu bannen.

Ein Fremder, der hartnäckig an deine Tür klopft und sie irgendwann durch einen Buffer Overflow aufstößt, ist kein Freund, sondern ein Feind. Und diese "Script-Kiddies" gehören meiner Meinung nach ins Gefängnis und nicht an den Computer.

[tab-kh]

Also als Default-Einstellung würde ich eine derartig restriktive Einstellung nicht haben wollen. Meine eigene fail2ban-Einstellung kommt da zwar schon ziemlich nah dran, aber viele User benutzen die Server um Webhosting+Mailhosting anzubieten für echte, zahlende Kunden. So auch Keyweb selbst. Wenn ich das also für mich und meinen Anwendungsfall restriktiver handhaben will, dann kann ich das innerhalb von 5-10 Minuten erledigen, indem ich mein fail2ban-Jail entsprechend konfiguriere und dafür auch schärfere Filtereinstellungen benutze (z.B. mode=aggressive). Dafür habe ich mittlerweile eine eigene Datei angelegt, die ich auf einen neuen Server nur draufkopieren muss.

Unabhängig davon würde ich eine Einstellbarkeit der wichtigsten Parameter der aktiven Jails grundsätzlich durchaus befürworten. Aber wirklich nur die wichtigsten (findtime, maxretry, bantime, eventuell den Filtermode) und das wirklich auch nur mit niedriger Priorität. Die Komplexität der fail2ban-Einstellungen auch nur ansatzweise im Panel abbilden zu wollen würde Entwicklungsressourcen verballern, die m.E. besser für wichtigere/dringendere/nützlichere Dinge genutzt werden sollten.

[slowmo]

Stimmt, man kann alles konfigurieren. Über SSH / CLI. Will ich aber nicht. Denn Keyhelp ist ja gerade dazu da, den vielen Servereinstellungen "ein Gesicht" zu geben. Eine einfache, verständliche GUI, ohne den SSH-Port offen halten zu müssen.

Letztendlich ist es immer eine individuelle Nutzen-Risiko-Abwägung.

Dass Keyhelp fast ausschließlich von Hostern genutzt wird, um zahlende Kunden (Dritte) zu hosten, glaube ich nicht. Ist mir sehr selten begegnet oder zu Ohren gekommen. (Abgesehen von Keyweb). Als ich das erste Mal mit Keyhelp in Berührung kam, war ich vServer Kunde bei ISPOne. Dort war Keyhelp auf einem OS-Image enthalten. Keyhelp wird sicher auch von vielen Privatpersonen für einfache Webprojekte, Mailserver, etc. verwendet, wenn man ein Hosting Control Panel haben möchte, um Projekte zu isolieren, Freunden und Verwandten zu helfen, etc. - Keyhelp ist zudem kostenlos, was ein weiterer gewichtiger Grund ist.

Lange Rede, kurzer Sinn:
1. Ich möchte nur die Möglichkeit haben, Einstellungen in der GUI vorzunehmen.
2. Und keine Änderung der Standardeinstellungen.
3. Jeder Admin soll selbst entscheiden, was nötig ist.

[Tobi]

Ich kenne sehr viele Reseller die KeyHelp für ihre Kunden verwenden. Dazu kommen unzählige User hier aus dem Forum die KeyHelp ebenfalls gewerblich nutzen, plus einige viele die KeyHelp als Firmenserver-Lösung oder als Vereinssoftware verwenden.

Der Funktionswunsch ansich ist deutlich geworden und braucht von dir nicht weiter erläutert zu werden.
Mal sehen was die Zukunft bringen mag.

[slowmo]

Vielen Dank