bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Einwahlmögligkeit blockieren

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Einwahlmögligkeit blockieren
From: "Helmut Hullen" <hhullen@xxxxxxxxxxxx>
Date: Sun, 14 Sep 2014 11:18:00 +0200
Hallo, Andreas,

Du meintest am 14.09.14:

> momentan scheinen die Script-Kiddies wieder viel Freizeit zu haben.
> Die täglichen "Einwahlversuche" bewegen sich jedenfalls im mittleren
> zweistelligen Bereich. Bisher lt. Logfile erfolglos. Zumindest
> scheinen sie nicht gekürzt oder manipuliert zu sein.
> Gibt es eine Möglichkeit (sicher gibt es diese), bestimmte
> IP-Bereiche vom Login in Arktur grundsätzlich auszuschließen, egal ob
> der Versuch per SSH, FTP oder sonst irgendwie erfolgt?

"Im Prinzip ja" - das sollte mit Hilfe der Datei "/etc/Schule/vollblock"  
funktionieren.

Ich habe jetzt mal meine private und "politisch nicht korrekte" Liste  
nach

        ftp://bs.hullen.de/Hullen/vollblock

gepackt: nach "/etc/Schule" kopieren und dann

        /etc/init.d/ipfilter restart

sollte einige der Skript-Kiddies abblocken.


> Der Versuch
> soll auch dann scheitern, sollte der Angreifer -aus welchen Gründen
> auch immer- das Benutzerpasswort kennen.

Wenn der Angreifer eine IP-Adresse benutzt, die zu einem in "vollblock"  
gelisteten Netz gehört, dann kommt er nicht rein.

Deswegen sollte z.B. das "Kabeldeutschland"-Netz nicht unbedingt  
blockiert werden, wenn ich dann und wann mal Fernwartung machen soll/ 
darf.

> Wenn dann zusätzlich noch die Möglichkeit gäbe, nur bestimmte
> Benutzer oder Benutzergruppen für das Login von Außen zuzulassen,
> wäre das noch besser.

Das dürfte etwas komplizierter sein; das würde ich am ehesten für die  
erlaubten Dienste individuell konfigurieren, für den Zugriff auf  
Webseiten z.B. in der ".htaccess"-Datei.

> Es geht generell um Login-Versuche von Außerhalb. Unser Arktur 5 ist
> über einen Router mit dem Internet verbunden. Im Router gibt es keine
> Einstellmöglichkeit für diesen Zweck.

Wenn Du mit

        nmap <IP-Adresse von Arktur, von draussen gesehen>

beginnst, dann siehst Du, welche Ports eventuell etwas stärker  
abgesichert werden müssen.

Wenn dabei beispielsweise auch Ports aus dem Bereich 135 bis 139  
angezeigt werden: das ist der Samba-Bereich, und der sollte in "/etc/ 
samba/smb.conf mit den beiden Zeilen

        interfaces = lo eth0
        bind interfaces only = yes

abgeblockt werden (wenn das LAN auf "eth0" hört).

Viele Gruesse!
Helmut


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 14.09.2014