fail2ban auf vServer

[francy_space]

Hallo,

daheim an meinem DS-Lite Router läuft ein VPN-Server. Seit geraumer Zeit nutze ich deshalb einen Portmapper auf einem vServer, der in einem Rechenzentrum sitzt. Heute habe ich mal angeschaut, wie viele gescheiterte Login-Versuche es bisher gab. Ich war schockiert von den ganzen Bots. Ich habe mich dann bisschen eingelesen, und habe gesehen, dass ich sofort fail2ban auf meinem vServer laufen lassen sollte. Ich habe mir ein Youtube-Video von SemperVideo zu Herzen genommen, mit dem Titel "Server mit Fail2Ban vor Angriffen schützen". Ich weiß aber, dass fail2ban nicht ausreichend sein wird. Ich habe auch von Firewalls gelesen, die ich aufspielen sollte. Sachen wie iptables, pfSense oder openSense. Das muss ich mir aber viel genauer anschauen. Dieses Wissen rund um Firewalls kann man sich nicht mit Youtube-Videos aneignen.

Meine Frage: Wie ist eure Erfahrung mit fail2ban? Nutzt ihr dies? Wenn ja, habt ihr auch zusätzlich Firewalls laufen?

 

[Nilson]

Ein Server im Internet sollte immer durch eine Firewall abgesichert sein und nur die Ports explizit erlauben, die genutzt werden. Fail2Ban ist dann eine weiter Absicherung für Dienste, die erreichbar sein sollen und daher nicht von der Firewall geschützt werden (können).
Zur Absicherung langt aber auch was simples wie UFW. Das muss jetzt kein eigens "OS" wie pfSense etc. sein.

 

[DeusoftheWired]

Wenn die Authentifizierung am VPN-Server via Schlüsseldatei und nicht über ein kurzes, erratbares Passwort erfolgt, kannst du die Alarmglocken abklingen lassen und bist vorerst sicher. Trotzdem schadet es nicht, sich mit den Techniken auseinanderzusetzen, vor allem wenn man eine Kiste betreibt, die für das gesamte Internet erreichbar ist.

pfSense und OPNsense sind Distributionen, also Betriebssysteme, die auf spezieller Hardware laufen. Im Gegensatz zu ihnen ist iptables nur ein Programm.

 

[GrumpyCat]

Firewall braucht man nicht, sofern auch wirklich nur die Dienste nach außen lauschen, die das tun sollen. netstat -lp gibt dazu Auskunft.

fail2ban braucht man nicht, sofern der Server nicht gerade DDoS-Probleme hat (und natürlich die eigenen Zugangsdaten sicher sind, also z.B. Login per Private Key oder wenigstens wirklich sichere Passwörter). Insbesondere ist fail2ban u.U. auch selbst eine Fehlerquelle oder evtl. sogar Sicherheitslücke: es parst Logdateien, wobei den Leuten ganz klassisch ständig Fehler passieren.

(ich benutze beides in unterschiedlichen Anwendungsgebieten. Z.B. fail2ban kickt auf einer größeren Website amoklaufende Bots und Spammer. Zur "Absicherung" von VPN oder SSH würde ich es nicht benutzen, auch wenn viele Youtuber und Blogger das "empfehlen".)

 

[francy_space]

In der Shell des vServers hatte ich über UFW den Port geöffnet, den ich in den Firewalleinstellungen des vServers freigegeben hatte.

 

[Raijin]

Einen Server im www zu betreiben ist nun mal kein Kinderspiel. Ja, er ist leicht eingerichtet und gerade die vServer sind mit einem Klick verfügbar, aber nicht ohne Grund haben IT-Admins eine Ausbildung oder gar ein Studium hinter sich, weil es mit diesem einen Klick eben nicht getan ist. Als unbedarfter Computer-User macht man sich gar keine Vorstellung davon wie massiv die Angriffsversuche von Bots im www sind und unter welchem Dauerfeuer auch der heimische Router jeden Tag steht.


Grundsätzlich gilt:

• Ports, die benutzt werden, in der Firewall öffnen
• alle anderen Ports blocken
• nach Möglichkeit Zugriffe auf bestimmte Quell-IPs beschränken (zB feste Büro-IP, o.ä.)
• je nach Dienst ggfs mittels fail2ban vor automatisierten Bot-Angriffen schützen
• IPv6 in der Firewall nicht vergessen(!)