geoip: Einsatz um seine im Netz stehende Raspi vor unberechtigten Zugriffen zu schützen ?

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Geh ins Bios deines XP und schalte WoL ab.

    ist keine Option

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • geoip: Einsatz um seine im Netz stehende Raspi vor unberechtigten Zugriffen zu schützen ?? Schau mal ob du hier fündig wirst!

  • ist keine Option

    Dann lass einfach mal Wireshark mitlaufen wer das Magic Packet schickt ( ist ein UDP Paket was 16x die MAC Adresse enthält, an die Broadcast Adresse des LAN gesendet ). Da es ein Broadcast ist bekommt das jeder Rechner im LAN mit. Evtl. kannst du auch auf einem PI die Ausgabe von TCPDUMP greppen, dann werden die Logfiles kleiner, das habe ich nur noch nie gemacht, war nur eine Idee jetzt.

    Irgendwer muss den Rechner ja starten.

    Die FB kann so etwas auch, den Rechner einschalten wenn er benötigt wird. Wenn ich heute Abend zu Hause bin schau ich mal nach.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • danke, das ist ein guter tipp

    ähm, wie mache ich das und wo

    auf dem normal abgeschalteten PC , auf den immer laufenden PI?

    Ich muss noch mal sehen ob ich alle neuen FB Schalter richtig gesetzt habe

    Computer bei jeder Ansprache wecken sollte AUS sein, nur den Compi wecken wenn ich in der FB gezielt aufwachen sage!

    Da es ein Broadcast ist bekommt das jeder Rechner im LAN

    also der immer laufende PI bekommt das mit? geil!

    gibt es whiteshark für PI?

    https://packages.debian.org/de/jessie/wireshark

    Ausgabe von TCPDUMP greppen,

    https://www.google.com/search?q=TCPDU…iw=1398&bih=888

    da bräuchte ich echt Hilfe

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

    Einmal editiert, zuletzt von jar (20. Juni 2018 um 14:49)

  • woher kommt nur dein tiefer Glaube das diese "Sicherheitsupdates" genau nur dieses tun?

    Ganz einfach:

    • Proprietäre Closed-Source OS (hauptsächlich MS Windows, Teile von Apple macOS):
      • Sicherheitslücke ist bekannt -> Update Patch einspielen -> Erfolg des Patches kann getestet werden
    • Freie Open-Source OS (Die meisten Linux-Distis und andere):
      • Wie oben
      • Im Sourcecode nachschauen

    Edit: die tatsächliche Lizenz ist ja egal, auf die Verfügbarkeit des Codes kommt es an.

    Und ja, manche Patches kommen mit Einschränkungen. Dürften aber die wenigsten sein.

    Bei Atari TOS 1.0 kam das AUS bei genau 128 malloc Aufrufen, es gab die berühmten Bomben, mit TOS 1.4 wurde der Fehler "behoben" es waren dann 1024 malloc Aufrufe möglich und wieder mit Bomben danach. Ein saubermachendes free oder eine garbadge collection gab es nicht.

    Das ist aber etwas länger her als gestern oder vorgestern... und auch länger als XP.

    Bei win98se war es ganz langsam erkennbar, mit jedem dieser "Sicherheitsupdates" wurde es ein Stück langsamer bis es nicht mehr arbeitstauglich war und man wechseln musste. Ich kann das beurteilen weil ich es vergleichen konnte von der Erstinstallation bis zuletzt.

    Das Microsoft Interesse daran hat, dass du in regelmäßigen Abständen die neuste Version ihres OS erwirbst, ist bekannt? Da steckt halt der Wille Geld zu verdienen dahinter, sei es nun mit Lizenz-Verkäufen oder deinen Daten.

    Und mit Verlaub, langsam wir es albern... Du hast ein XP-Kiste mit wohlmöglich 100ten Sicherheitslücken zu Hause stehen, diverse Meinungen dazu und was am besten zu tun ist hast du. Nun mach das draus, was du denkst.

  • Du hast ein XP-Kiste mit wohlmöglich 100ten Sicherheitslücken zu Hause stehen

    stimmt

    wenn ich wechseln würde dann zu win7 aber auch da läuft die Unterstützung bald aus, hilft also nicht viel

    win8 & 10 will ich nicht, nun ja ich habe noch die Hoffnung das meine Kisten solange leben wie ich oder ich irgendwann keinen Compi mehr mag oder bedienen will.

    Und mit Verlaub, langsam wir es albern...

    sehe ich auch so:

    Closed-Source OS (hauptsächlich MS Windows, Teile von Apple macOS):

    Sicherheitslücke ist bekannt -> Update Patch einspielen -> Erfolg des Patches kann getestet werden

    von wem und wird nur der Erfolg getestet und auch was sonst noch so reingepackt wird?

    Über sogenannte Hintertürchen erfährt man doch selten oder zu spät oder nie.

    Gerade weil:

    Das Microsoft Interesse daran hat, dass du in regelmäßigen Abständen die neuste Version ihres OS erwirbst

    traue ich denen keinen Meter weit, die wollen immer mein Bestes.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Hi jar: ich will das Ganze jetzt nicht aufwärmen, aber Deine Aussagen klingen sehr nach "Wasch mir den Pelz aber mach mich nicht nass" ...

    Wenn Du wirklich so paranoid wärst, wie Du schreibst, dann hättest Du auf allen Rechnern nur Open Source Betriebssysteme und würdest Deine Patches selbst compilieren und einspielen.

    Und ja ... es gibt solche Menschen. Und nein, die lassen auch ein "ich brauch aber ...." oder "ich will aber ..." nicht gelten und sind da absolut konsequent.

    Dieses "ich hätte gern ...", "das mag ich nicht ...", "das will ich nicht ..." ... bringt gar nix und nervt. Ganz zu schweigen davon, dass z.B. dieser Thread mal wieder komplett entgleist ist.

    Sei konsequent und steh' zu Deinen Entscheidungen, dann brauchst Du auch nicht dauernd so rumeiern ...

    Nix für ungut,

    -ds-

  • Sei konsequent und steh' zu Deinen Entscheidungen, dann brauchst Du auch nicht dauernd so rumeiern ...

    bin ich normalerweise auch, nur ihr macht einen ja paranoid

    ich glaube ich lese hier zuviel....

    nur das mit dem Wechsel der Fritzbox nun mein XP öfter gestartet ist wundert mich halt.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Hat den wer nen Link für mich bezüglich geoip und wie ich alles außerhalb DE aussperre ?

    Ich habe fuer mich aufgeschrieben wie man geoip auf einer Raspi installiert und aktiviert. Gluecklicherweise, denn gerade Letztens musste ich das noch einmal durchfuehren und habe dabei die Beschreibung noch erweitert :)

  • Ich hänge mich mal an diesen Thread an. Ich habe mir fail2ban und geoip auf meinem Pi2 installiert. Beides läuft wie es soll, denke ich? Wäre top, wenn jemand, bei dem das alles schon läuft mal über meine fail2ban config schauen könnte. Speziell das senden einer Email wenn funktioniert nicht. Denn ich sollte ja auch bei jedem Neustart von fail2ban eine bekommen, was aber nicht passiert.

    Hier meine jail.local (die jail.conf habe ich nicht angerührt):

    Das habe ich mir mehr oder weniger so aus dem Netz zusammen gesucht. SSH ist wie man sieht nicht mehr der Standardport. Bei den Email-adressen sind natürlich die entsprechenden eingetragen. Mache ich nun ein

    Code
    sudo service fail2ban restart

    Sollte ich meines wissens eine Email erhalten, bekomme aber nichts. Muss ich noch extra etwas einstellen?

    Und noch eine allgemeine Frage: Was gebe ich mit dem Parameter logpath an? Der log der von fail2ban untersucht wird, oder den logpath, wo failban selbst logged? Ich nahm bisher immer an das es ersteres ist.

    Bei geoip möchte ich nur Verbindungen aus Deutschland zulassen und habe dementsprechend in uwf's before.rules folgende Zeile ans Ende hinzugefügt:

    Code
    -A ufw-before-input -p tcp --dport 3591 -m geoip --src-cc DE -m conntrack --ctstate NEW -j ACCEPT

    Sollte so passen, oder? Konnte es noch nicht testen.

    Vielleicht kann mir hier ja jemand helfen. :)

    BallerNacken

  • 1. Warum enablest Du nicht allgemein eMails1? -> https://www.fail2ban.org/wiki/index.php…Mails_versendet

    2. Logpath muss die Datei sein in die der zu ueberwachende Service seine Logs reinschreibt.

    3. Dann solltest Du noch einen Filter anlegen in dem der Regex zu geoip drin steht:

    Code
    failregex = BLOCK_GEOIP:.* SRC=<HOST>.*DPT=22

    4. Bei mir logged die iptables rule noch

    Code
    LOG --log-prefix "BLOCK_GEOIP:

    was zu dem Filter passen muss.

    5. Deine Rule sollte genau invers funktionieren:

    Code
    -A ufw-before-input -p tcp --dport 3591 -m geoip ! --src-cc DE -j DROP
  • 5. Deine Rule sollte genau invers funktionieren:

    Code
    -A ufw-before-input -p tcp --dport 3591 -m geoip ! --src-cc DE -j DROP

    Evtl. ist es hier besser, schon mit der raw table zu blocken. Dann wird weniger CPU verbraucht:

    Zitat

    ... so yes, you con filter packets in the raw table with the benefits of less CPU/memory consumption.

    https://unix.stackexchange.com/questions/2430…aw-table#244527

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Okay. Also Email versenden klappt bei mir leider nicht. Das liegt aber am versenden selbst, nicht an fail2ban. Ist mir aber erstmal halbwegs egal, da es auf jedenfall funktioniert.

    Was genau tuen denn der failregex und der LOG --log-prefix "BLOCK_GEOIP: Command? Zumindest beim zweiten nehme ich mal an, das dieser abgewiesene Verbindungen von Geoip logt? Ich bin mir leider nicht 100%ig sicher wie ich die beiden Zeilen in die jail.conf bzw. jail.local eintrage? Finde die viefalt an Optionen bei fail2ban ziemlich verwirrend.

  • MTA ist in diesem Fall sendmail. Ist auch alles soweit für meine Adresse eingestellt. Nur das Senden von Emails will nicht funktionieren. Ich bin bisher aber noch nicht genau dahinter gekommen, wo das Problem liegt. Führe ich z.B.

    Code
    /usr/lib/sendmail -v -port 587 email@host.de

    aus, erhalte ich zunächste eine Warnung und dann passiert ewig nichts. Es ist noch nie komplett durchgelaufen. Wenn es irgendwie geht, würde ich lieber sendEmail verwenden, denke aber nicht das dies für fail2ban möglich ist. Oder ich weiß zumindest nicht, wie dies gehen würde.

  • Bitte handelt das mail Problem in einem anderen Thread ab ;)


    Was genau tuen denn der failregex und der LOG --log-prefix "BLOCK_GEOIP: Command?

    Fail2ban benutzt regex um Hits in Logfiles zu erkennen. Ich habe das z.B. bei mir so gemacht dass iptables das log tag BLOCK_GEOIP ins Log schreibt und der regex von fail2ban sucht nach diesem Tag, extrahiert daraus die IP und blocked sie dann.

  • Eine halbe Sekunde suchen spuckt aus: http://blog.somsip.com/2011/12/fail2b…ail-python-mta/

    Nicht getestet.

    Okay, da war ich defintiv zu doof zu googlen. Ich habe nur jede Menge Ergebnisse zu sendmail bekommen. Mit sendEmail funktioniert es auf Anhieb. Vielen Dank!

    Bitte handelt das mail Problem in einem anderen Thread ab ;)


    Fail2ban benutzt regex um Hits in Logfiles zu erkennen. Ich habe das z.B. bei mir so gemacht dass iptables das log tag BLOCK_GEOIP ins Log schreibt und der regex von fail2ban sucht nach diesem Tag, extrahiert daraus die IP und blocked sie dann.

    Ja, ich gebe Dir recht. Ist ja jetzt geklärt mit den Emails.
    Gut, dann werde ich die regex für GeoIP mal einbauen.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!