Absichern des Servers im Internet



SEC - Simple Event Correlation

Mit SEC ist es möglich Events zu sammeln. Events, die zusammengehören werden zusammen gespeichert und bei überschreiten eines Grenzwertes, kann eine Action eingeleitet werden. Ich nutze diese Funktionalität, um bei zuvielen Fehlversuchen sich einzuloggen, die IP in die /etc/hosts.deny zu schreiben, um so den potentiellen Angreifer auszusperren. Weitere Loginversuche werden somit wirkungsvoll unterbunden. Ein simples ausspähen oder ausprobieren ist somit nicht möglich.

SEC - Simple Event Correlation kann bei sourceforge herunter geladen werden. Wer die Dokumentation sucht, der wird bei Risto Vaarandi fündig. http://kodu.neti.ee/~risto/sec.

Als Beispiel könnt ihr euch meine drei Konfigurationsfiles als Beispiel nehmen. Fühlt euch frei sie zu verändern.
Bitte ändert die Emailadresse auf eure eigene, damit ihr auch per Mail von einer Sperrung Mitteilung bekommt. Außerdem passt die "window" Größe an. 38400 steht für 38400 Sekunden. Dieser Wert muss auf eure Probleme zugeschnitten sein. Manche Versuche Passwörter zu erraten erstrecken sich sogar über Tag.
Je nach System müssen die regulären Ausdrücke an das System angepasst werden. Das Beispiel bezieht sich auf Linux.

Zur Auswertung der Angriffe, speichere ich diese in einer Datenbank ab. Damit kann ich genau nachvollziehen, woher die Angriffe kommen, welche Accounts versucht wurden zu kompromitieren und wie häufig versucht wurde, sich nach Sperrung sich zu verbinden. Wer das nicht braucht, kann shellcmd /opt/sec/bin/secdb.sh aus der Konfiguration löschen.

Wer sich auch eine Datenbank zulegen will, kann sich mit MySQL und sec.sql die Datenbank anlegen und das Script zum einfügen kann man sich hier (secdb.sh) runterladen.
Nun braucht man nur noch GeoIP. Man kann sich unter debian dieses einfach mit "apt-get install geoip" downloaden. Leider ist die GeoIP DB etwas veraltet. Die Light Version von GeoIP kann man bei MaxMind. Zum update der geoip habe ich mir ein Script aus dem Internet umgebaut (geoip-update.sh).

Wenn ihr dann noch schöne Grafiken zur Auswertung euch bauen woll, so solltet ihr euch jpgraph anschauen (http://www.aditus.nu/jpgraph/).