Heute Morgen beglückte mich mein ftp-Server mal wieder mit der Meldung eines "login attempts".
Der ftp-Server steht hinter einem Lancom 1781VA und ist per port forwarding eines nicht standard ports von außen erreichbar.
Er ist so eingerichter, dass ich für jede login Aktion eine email bekomme.
Von Zeit zu Zeit nerven dann gehäuft emails weil mal wieder so ein Ars...och mit portscans rausbekommen hat, dass da was antwortet.
Bisher hab' ich die entsprechenden IP-Adressen immer händisch in der Firewall gesperrt damit mich die emails nicht weiter nerven.
Das ist natürlich kein proaktives Vorgehen und so bekomme ich ab und an wieder Benachrichtigungen über neue Versuche von anderen IP-Adressen.
Bei meiner letzten Goolge-Suche zu einer der IP-Adressen bin ich auf die Seite einer deutschen Uni gestossen, die die von deren Rechenzentrum gesperrten externen IP-Adressen auflistet, inklusive Grund und Zeitstempel. Die Liste sieht demnach sehr aktuell gepflegt aus.
Jetzt meine Fragen, zu denen ich zugegebener Maßen hier im Forum bisher nicht weiter recherchiert habe.
1. Welche Möglichkeiten habe ich, eine entsprechende Liste in der Firewall meines Lancom Routers scriptgesteuert zu implementieren ?
Gibt's hierfür eine API ?
Ich würde die Liste aus dem Web gerne mit so was wie beautifulsoup abrufen und dann in die Firewall einpflegen.
Die Liste hat z.Z. geschätzte 3000 - 4000 Einträge. (Erschreckend wieviele Ars...öcher da unterwegs sind und ich nehme mal an, dass ist nur die Spitze des Eisbergs.)
2. Wäre die Firewall des Lancom mit einer Liste dieser Größe überfordert ?
Automatisierte Liste von gesperrten IP-Adressen
Moderator: Lancom-Systems Moderatoren
Re: Automatisierte Liste von gesperrten IP-Adressen
Hi geppi,
ganz ehrlich: das macht keinen Sinn - spätestens, wenn der "Angreifer" über einen ganz normalen Internet-Provider reinkommt (z.B. T-Online), kannst du gleich das ganze Internet sperren, da diese dynamische Adressen vergeben...
Dann brauchst du aber auch kein Portforwardeng mehr.
Wer Dienste in Internet anbietet, muß sie auch absichern - mindestens durch starke Paßwörter.
BTW: sich für jeden fehlgeschklagenen login-Versuch eine Mail schicken zu lassen dürfte dein Postfach doch sehr anschwellen lassen. Und wenn du dir nur für erfolgreiche Logins eine Mail schicken läßt, und du trotzdem unerwartete bei dir ankommen, dann solltest du lieber über das Paßwort nachdenken, statt über pseudo-sicherheit durch Sperr-Listen...
Am einfachsten änderst du deine Strategie und machst den FTP-Server nur über VPN verfügbar. Dann kommt da keiner mehr rein, der nur einen Portscanner nutzt
Gruß
Backslash
ganz ehrlich: das macht keinen Sinn - spätestens, wenn der "Angreifer" über einen ganz normalen Internet-Provider reinkommt (z.B. T-Online), kannst du gleich das ganze Internet sperren, da diese dynamische Adressen vergeben...
Dann brauchst du aber auch kein Portforwardeng mehr.
Wer Dienste in Internet anbietet, muß sie auch absichern - mindestens durch starke Paßwörter.
BTW: sich für jeden fehlgeschklagenen login-Versuch eine Mail schicken zu lassen dürfte dein Postfach doch sehr anschwellen lassen. Und wenn du dir nur für erfolgreiche Logins eine Mail schicken läßt, und du trotzdem unerwartete bei dir ankommen, dann solltest du lieber über das Paßwort nachdenken, statt über pseudo-sicherheit durch Sperr-Listen...
Am einfachsten änderst du deine Strategie und machst den FTP-Server nur über VPN verfügbar. Dann kommt da keiner mehr rein, der nur einen Portscanner nutzt
Gruß
Backslash
Re: Automatisierte Liste von gesperrten IP-Adressen
hallo geppi,
ich habe vor einigen jahren mal eine meiner e-mail-adressen deaktiviert, weil mir die spam-mails zu viele wurden. ich hatte gehofft, dass die spammer nach einer längeren zeitspanne der nicht-erreichbarkeit diese adresse wieder aufgeben, d.h. aus den listen ihrer angriffsziele nehmen. selbst nach mehr als 3 jahren durchgängiger abschaltung, trafen spätestens nach ein paar tagen nach der reaktivierung wieder regelmäßig spam-mails ein. kurzum: diese leute werden wir nicht los.
trotzdem habe ich meinem ssh-server fail2ban zur zeite gestellt. einfach um diesen leuten ihre angriffe zu erschweren. vielleicht wäre fail2ban auch etwas für deinen ftp-server.
beste grüße
LC4fun
ich habe vor einigen jahren mal eine meiner e-mail-adressen deaktiviert, weil mir die spam-mails zu viele wurden. ich hatte gehofft, dass die spammer nach einer längeren zeitspanne der nicht-erreichbarkeit diese adresse wieder aufgeben, d.h. aus den listen ihrer angriffsziele nehmen. selbst nach mehr als 3 jahren durchgängiger abschaltung, trafen spätestens nach ein paar tagen nach der reaktivierung wieder regelmäßig spam-mails ein. kurzum: diese leute werden wir nicht los.
trotzdem habe ich meinem ssh-server fail2ban zur zeite gestellt. einfach um diesen leuten ihre angriffe zu erschweren. vielleicht wäre fail2ban auch etwas für deinen ftp-server.
beste grüße
LC4fun