Sicherheit durch hosts-deny

Konfigurations-Parameter von hosts-deny

ACHTUNG: Es ist zwingend erforderlich, daß Sie nicht nur die Parameter in der hdeny.setting.php anpassen, sondern unbedingt die Installations-Anleitung durchgehen!

Parameter 

 Default 

 Infos zu diesem Parameter 

_alertlog

 /var/log/snort/alert

 Pfad zur Alert-Datei (evtl. auch html)
 Diese Datei enthält die snort-alerts, die von hosts-deny ausgelesen werden. Diese Datei muß für hosts-deny lesbar sein!

_denyhost

 /etc/hosts.deny

 In dieser Datei werden die IP-Sperren eingetragen, um Angriffe von Angreifern für einen definierten Zeitraum abzuwehren! Diese Datei muß für hosts-deny lese- und schreibbar sein!

_proftpdhost

/etc/proftpd.deny

 Nur bei älteren Linux - Derivaten, wie z.B. Debian Sarge, die FTP-Kommunikationvia proftpd ermöglichen, ist hier eine gesonderte Datei anzulegen! In dieem Fall muß auch weiter unten der Parameter _proftpd auf 1 gesetzt werden! Bei neueren Linux - Derivaten mit neueren Versionen von proftpd, ist der Parameter _proftpd auf 0 zu setzen und die Variable _proftpdhost wird nicht ausgewertet! Sofern Sie nicht als FTP-Server proftpd einsetzen ist ebenfalls eine 0 in _proftpd zu setzen!

Ab Debian 4 (Etch) ist proftpd auf dem neuesten Stand und der Parameter muß _proftpd verbleibt auf 0, auch muß hier nichts eingetragen werden.

Sofern Sie proftpd einsetzen, lesen Sie bitte unbedingt auch hier weiter!

_dbname

hostsdeny

Name der Datenbank, in der hosts-deny vollen Zugriff erhält und die für einen ordentlichen Betrieb von hosts-deny benötigt wird. 

_dblogin

hostsdeny

Login - Name zur hostsdeny-Datenbank

_dbpassw

irgendein  Paßwort

Passwort zum Login - Namen der hostsdeny-Datenbank

_dbhost

localhost

Sofern die Datenbank sich auf dem gleichen Server befindet, ist der Hostname localhost. Auch ist es möglich, daß hosts-deny auf einem entfernten Datenbank-Server betrieben wird. Momentan kann noch nicht eine gemeinsame Datenbank für mehrere Server verwendet werden, siehe geplante Features

_email

Ihre eMail

über diese Mail - Adressen erhalten Sie Warnungen von hosts-deny

_proftpd

_homeips

0

Array: localhost, IPs Ihres Servers

siehe _proftpdhost, paar Zeilen höher!

Der erste Wert in diesem Array muß immer localhost lauten. Es darf anstatt localhost keine IP eingegeben werden! Des weiteren sind hier alle IPs des Servers oder des vServers einzutragen, die Sie mit dem Befehl ifconfig abrufen können! 127.0.0.1 bitte nicht mit angeben! Normalerweise wird pro Server nur eine externe IP verwendet, es sind jedoch theoretisch weitere IPs auf den Server aufschaltbar. Die IPs in dieser Liste werden nicht in die hosts.deny eingetragen, aber andererseits werden manche Log-Einträge der alert.log umgedreht gespeichert und damit diese Angriffe ebenfalls korrekt ausgewertet werden können, ist die korrekte Eintragung der IPs des Servers hier notwendig.

_maxalerts

100

wird momentan nicht mehr ausgewertet

_prio1max

2

ein Blocking erfolgt, wenn zwei Angriffe innerhalb einer Zeit in Prio 1 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *4 erhöht. Der Default-Wert ist absolut optimal!

_prio2max

4

ein Blocking erfolgt, wenn vier Angriffe innterhalb einer Zeit in Prio 2 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *2 erhöht.Der Default-Wert ist absolut optimal!

_prio3max

7

ein Blocking erfolgt, wenn sieben Angriffe innerhalb einer Zeit in Prio 3 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *1 erhöht.Der Default-Wert ist absolut optimal!

_priomixmax

15

ein Blocking erfolgt, wenn in Mix die Summe von 15 erzielt worden ist, so z.B. ein Angriff in Prio 1, ein Angriff in Prio 2, und 9 Angriffe in Prio 3 - oder 1 Angriff in Prio 1 und 3 Angriffe in Prio 2 und 5 Angriffe in Prio 3.Der Default-Wert ist absolut optimal! Der Default-Wert ist absolut optimal!

_maxblock

3

eine IP wird maximal 3 mal geblockt und wieder entblockt, bevor Sie generell in einen Superblock geht, der z.B. erst nach 30 Tage aufgehoben wird! Der Default-Wert ist absolut optimal!

_blocktime

3600

3600 Sekunden = 60 Minuten = 1 Stunde
Ein Blocking einer IP erfolgt nach der ersten Angriffswelle 1 Stunde. Danach wird das Blocking wieder aufgehoben. Der Default-Wert ist absolut optimal!

_blocktime2

36000

36000 Sekunden = 600 Minuten = 10 Stunden
Wurde nach der 1. Angriffswelle und einem Blocking von 1 Stunde, die IP wieder entblockt und über diese IP erfolgt erneut eine Angriffswelle, wird die IP für 10 Stunden geblockt! Danach wird die IP wieder entblockt. Diese Zeit gilt auch für jede weitere Angriffswelle, es sei denn wird erreicht, dann gilt bis zum entblocken! (Superblock). Der Default-Wert ist absolut optimal!

_segment1max

10

Sofern ein Angreifer seine IP wechselt, um den Angriff fortzusetzen, so reichen 10 IPs innerhalb des gleichen Segmentes, die zum gleichen Zeitpunkt geblockt sind, um das gesamte Segment in 3. Ebene zu blocken, bis die IPs dieses Segementes wieder entblockt sind.  Also z.B. alle IPs von 123.123.123.xxx. Der Default-Wert ist absolut optimal!

_segment2max

20

Sofern ein Angreifer seine IP über einen größeren Segment-Bereich ständig ändern, um die Angriffe fortzusetzen, so reichen 20 IPs innerhalb des gleichen Segmentes, die zum Zeitpunkt geblockt sind, um das gesamte Segment in 2. Ebene zu blocken, bis die IPs dieses Segmentes wieder entblockt sind. Also z.B. alle IPs von 123.123.xxx.xxx. Der Default-Wert ist absolut optimal!

_segment3max

100

Sofern ein Angreifer seine IP über einen größeren Segement-Bereich ständig ändert, um die Angriffe fortzusetzen, so reichen 100 IPs des Hauptsegmentes aus, die zum Zeitpunkt geblockt sind, um das gesamte Hauptsegment in 1. Ebene zu blocken, bis die IPs dieses Segementes wieder entblockt sind. Also z.B. alle IPs von 123.xxx.xxx.xxx. Der Default-Wert ist absolut optimal!

_segdeltime

24

Segmente werden nach 24 Stunden automatisch gelöscht!

_deltimenorm

7

Löschen von IPs aus dem ipcounter, wenn innerhalb von 7 Tagen kein Angriff mehr erfolgt ist und die IP nicht bereits 3 mal geblockt worden ist!

_deltimemax

30

Löchen von IPs aus dem ipcounter nach spätestens 30 Tagen, auch wenn bereits 3 mal geblockt war!

Die default-Werte, insbesondere bezgl. der Blockings sind optimal! Es ist sehr unwahrscheinlich, daß überhaupt Segmente geblockt werden müssen, aber dann sind diese wirklich notwendig! Sie sollten gelegentlich mal einen Blick in Ihre hosts.deny werfen, insbesondere, wenn Sie starten. Ferner führen ggf. manche snort-alerts zu einem übersensibilisiertem Blocking, ggf. müssen Sie manche snort-Rules abschalten. In der nächsten Version erhalten Sie hier zu weitere Empfehlungen. 

Snort®, Sourcefire™, the Snort logo and the Sourcefire logo are trademarks of Sourcefire. All other product names, company names, marks, logos, and symbols may be the trademarks of their respective owners.