ACHTUNG: Es ist zwingend erforderlich, daß Sie nicht nur die Parameter in der hdeny.setting.php anpassen, sondern unbedingt die Installations-Anleitung durchgehen!
Parameter
Default
Infos zu diesem Parameter
_alertlog
/var/log/snort/alert
Pfad zur Alert-Datei (evtl. auch html)
Diese Datei enthält die snort-alerts, die von hosts-deny ausgelesen werden. Diese Datei muß für hosts-deny lesbar sein!
_denyhost
/etc/hosts.deny
In dieser Datei werden die IP-Sperren eingetragen, um Angriffe von Angreifern für einen definierten Zeitraum abzuwehren! Diese Datei muß für hosts-deny lese- und schreibbar sein!
_proftpdhost
/etc/proftpd.deny
Nur bei älteren Linux - Derivaten, wie z.B. Debian Sarge, die FTP-Kommunikationvia proftpd ermöglichen, ist hier eine gesonderte Datei anzulegen! In dieem Fall muß auch weiter unten der Parameter _proftpd auf 1 gesetzt werden! Bei neueren Linux - Derivaten mit neueren Versionen von proftpd, ist der Parameter _proftpd auf 0 zu setzen und die Variable _proftpdhost wird nicht ausgewertet! Sofern Sie nicht als FTP-Server proftpd einsetzen ist ebenfalls eine 0 in _proftpd zu setzen!
Ab Debian 4 (Etch) ist proftpd auf dem neuesten Stand und der Parameter muß _proftpd verbleibt auf 0, auch muß hier nichts eingetragen werden.
Sofern Sie proftpd einsetzen, lesen Sie bitte unbedingt auch hier weiter!
_dbname
hostsdeny
Name der Datenbank, in der hosts-deny vollen Zugriff erhält und die für einen ordentlichen Betrieb von hosts-deny benötigt wird.
_dblogin
hostsdeny
Login - Name zur hostsdeny-Datenbank
_dbpassw
irgendein Paßwort
Passwort zum Login - Namen der hostsdeny-Datenbank
_dbhost
localhost
Sofern die Datenbank sich auf dem gleichen Server befindet, ist der Hostname localhost. Auch ist es möglich, daß hosts-deny auf einem entfernten Datenbank-Server betrieben wird. Momentan kann noch nicht eine gemeinsame Datenbank für mehrere Server verwendet werden, siehe geplante Features
_email
Ihre eMail
über diese Mail - Adressen erhalten Sie Warnungen von hosts-deny
_proftpd
_homeips
0
Array: localhost, IPs Ihres Servers
siehe _proftpdhost, paar Zeilen höher!
Der erste Wert in diesem Array muß immer localhost lauten. Es darf anstatt localhost keine IP eingegeben werden! Des weiteren sind hier alle IPs des Servers oder des vServers einzutragen, die Sie mit dem Befehl ifconfig abrufen können! 127.0.0.1 bitte nicht mit angeben! Normalerweise wird pro Server nur eine externe IP verwendet, es sind jedoch theoretisch weitere IPs auf den Server aufschaltbar. Die IPs in dieser Liste werden nicht in die hosts.deny eingetragen, aber andererseits werden manche Log-Einträge der alert.log umgedreht gespeichert und damit diese Angriffe ebenfalls korrekt ausgewertet werden können, ist die korrekte Eintragung der IPs des Servers hier notwendig.
_maxalerts
100
wird momentan nicht mehr ausgewertet
_prio1max
2
ein Blocking erfolgt, wenn zwei Angriffe innerhalb einer Zeit in Prio 1 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *4 erhöht. Der Default-Wert ist absolut optimal!
_prio2max
4
ein Blocking erfolgt, wenn vier Angriffe innterhalb einer Zeit in Prio 2 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *2 erhöht.Der Default-Wert ist absolut optimal!
_prio3max
7
ein Blocking erfolgt, wenn sieben Angriffe innerhalb einer Zeit in Prio 3 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *1 erhöht.Der Default-Wert ist absolut optimal!
_priomixmax
15
ein Blocking erfolgt, wenn in Mix die Summe von 15 erzielt worden ist, so z.B. ein Angriff in Prio 1, ein Angriff in Prio 2, und 9 Angriffe in Prio 3 - oder 1 Angriff in Prio 1 und 3 Angriffe in Prio 2 und 5 Angriffe in Prio 3.Der Default-Wert ist absolut optimal! Der Default-Wert ist absolut optimal!
_maxblock
3
eine IP wird maximal 3 mal geblockt und wieder entblockt, bevor Sie generell in einen Superblock geht, der z.B. erst nach 30 Tage aufgehoben wird! Der Default-Wert ist absolut optimal!
_blocktime
3600
3600 Sekunden = 60 Minuten = 1 Stunde
Ein Blocking einer IP erfolgt nach der ersten Angriffswelle 1 Stunde. Danach wird das Blocking wieder aufgehoben. Der Default-Wert ist absolut optimal!
_blocktime2
36000
36000 Sekunden = 600 Minuten = 10 Stunden
Wurde nach der 1. Angriffswelle und einem Blocking von 1 Stunde, die IP wieder entblockt und über diese IP erfolgt erneut eine Angriffswelle, wird die IP für 10 Stunden geblockt! Danach wird die IP wieder entblockt. Diese Zeit gilt auch für jede weitere Angriffswelle, es sei denn wird erreicht, dann gilt bis zum entblocken! (Superblock). Der Default-Wert ist absolut optimal!
_segment1max
10
Sofern ein Angreifer seine IP wechselt, um den Angriff fortzusetzen, so reichen 10 IPs innerhalb des gleichen Segmentes, die zum gleichen Zeitpunkt geblockt sind, um das gesamte Segment in 3. Ebene zu blocken, bis die IPs dieses Segementes wieder entblockt sind. Also z.B. alle IPs von 123.123.123.xxx. Der Default-Wert ist absolut optimal!
_segment2max
20
Sofern ein Angreifer seine IP über einen größeren Segment-Bereich ständig ändern, um die Angriffe fortzusetzen, so reichen 20 IPs innerhalb des gleichen Segmentes, die zum Zeitpunkt geblockt sind, um das gesamte Segment in 2. Ebene zu blocken, bis die IPs dieses Segmentes wieder entblockt sind. Also z.B. alle IPs von 123.123.xxx.xxx. Der Default-Wert ist absolut optimal!
_segment3max
100
Sofern ein Angreifer seine IP über einen größeren Segement-Bereich ständig ändert, um die Angriffe fortzusetzen, so reichen 100 IPs des Hauptsegmentes aus, die zum Zeitpunkt geblockt sind, um das gesamte Hauptsegment in 1. Ebene zu blocken, bis die IPs dieses Segementes wieder entblockt sind. Also z.B. alle IPs von 123.xxx.xxx.xxx. Der Default-Wert ist absolut optimal!
_segdeltime
24
Segmente werden nach 24 Stunden automatisch gelöscht!
_deltimenorm
7
Löschen von IPs aus dem ipcounter, wenn innerhalb von 7 Tagen kein Angriff mehr erfolgt ist und die IP nicht bereits 3 mal geblockt worden ist!
_deltimemax
30
Löchen von IPs aus dem ipcounter nach spätestens 30 Tagen, auch wenn bereits 3 mal geblockt war!
Die default-Werte, insbesondere bezgl. der Blockings sind optimal! Es ist sehr unwahrscheinlich, daß überhaupt Segmente geblockt werden müssen, aber dann sind diese wirklich notwendig! Sie sollten gelegentlich mal einen Blick in Ihre hosts.deny werfen, insbesondere, wenn Sie starten. Ferner führen ggf. manche snort-alerts zu einem übersensibilisiertem Blocking, ggf. müssen Sie manche snort-Rules abschalten. In der nächsten Version erhalten Sie hier zu weitere Empfehlungen.
Snort®, Sourcefire™, the Snort logo and the Sourcefire logo are trademarks of Sourcefire. All other product names, company names, marks, logos, and symbols may be the trademarks of their respective owners.