Frage zu netcup Server Firewall-Konfiguration

  • da nach habe ich erst Porst wie z.b. denn ssh Prot

    Ich hoffe, das ist nicht der Standard SSH Port, denn dann ist dein Rechner jetzt mindestens 1 Attacke pro Sekunde ausgesetzt. Was sagt dir Fail2Ban?



    denn Port 8000 ssl Prot 8443 für denn Icecast2 auf gemacht

    Und wie schützt du die Anwendungen? Was ist mit WAF? Icecast 2 wurde seit Jahren nicht mehr aktualisiert, ggf. schlummern darin zahlreiche Sicherheitslücken. Hast du die CVEs überprüft?


    Du hast noch einen sehr weiten Weg vor dir, das System abzusichern.

  • Da hast du recht der standart Icecast 2 wurde seit jahren nicht aktualisiert darum nehme ich KH Icecast 2 hätte ich da zu schreiben müssen nein ich arbeite nimals mit Standard Port sei es für SSH oder FTP

  • Auch schon über ein Jahr alt.


    Was ist mit den anderen Sachen? Fail2Ban? WAF?

    Fail2Ban ist ein hostbasiertes Intrusion-Prevention-System (HIPS), das hauptsächlich vor Brute-Force-Angriffen schützt. Es überwacht Logdateien auf fehlerhafte Anmeldeversuche oder verdächtige Aktivitäten und sperrt IP-Adressen vorübergehend, wenn sie eine festgelegte Anzahl von Fehlversuchen überschreiten.

    Wichtige Merkmale von Fail2Ban:

    • Log-Überwachung: Fail2Ban überwacht Logdateien (z. B. von SSH, Apache) auf verdächtige Aktivitäten wie wiederholte Fehlanmeldeversuche.
    • IP-Sperrung: Sobald verdächtiges Verhalten festgestellt wird (z. B. mehrere Fehlversuche bei der Anmeldung), sperrt es die entsprechende IP-Adresse, indem es die Firewall-Regeln aktualisiert (wie iptables).
    • Vorübergehende Sperrung: Die Sperrung ist in der Regel temporär (konfigurierbar), sodass der Benutzer nach einer festgelegten Zeit erneut versuchen kann, sich anzumelden.
    • Anpassbar: Fail2Ban lässt sich an verschiedene Dienste, Protokolle und Logdateien anpassen. Es kann z. B. SSH, FTP, Mailserver und auch Webserver schützen.
    • Ressourcenschonend: Als hostbasierte Lösung arbeitet Fail2Ban auf einzelnen Servern ohne großen Ressourcenverbrauch.

    2. WAF (Web Application Firewall)

    Eine Web Application Firewall (WAF) ist eine netzwerkbasierte oder cloudbasierte Firewall, die HTTP/HTTPS-Datenverkehr zu und von einer Webanwendung filtert, überwacht und blockiert. Sie schützt speziell Webanwendungen vor verschiedenen Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und anderen Schwachstellen, die von OWASP (Open Web Application Security Project) aufgelistet werden.

    Wichtige Merkmale einer WAF:

    • Datenverkehrsfilterung: Eine WAF inspiziert den eingehenden und ausgehenden HTTP/HTTPS-Datenverkehr, um schädliche Anfragen abzuwehren, bevor sie die Webanwendung erreichen.
    • Schutz auf Anwendungsebene: WAFs arbeiten auf der Schicht 7 (Anwendungsebene) des OSI-Modells und konzentrieren sich auf den Schutz von Webanwendungen, nicht des gesamten Servers.
    • Regelbasierter oder verhaltensbasierter Schutz: WAFs verwenden entweder regelbasierte Filter (z. B. Erkennung bekannter Angriffsmuster) oder fortgeschrittene verhaltensbasierte Analyse (z. B. Erkennung abnormaler Verkehrsmuster).
    • Schutz vor webbasierten Angriffen: Eine WAF schützt typischerweise vor Angriffen wie SQL-Injection, XSS, File Inclusion Vulnerabilities, Cross-Site Request Forgery (CSRF) und anderen.
    • Integration: WAFs können in den Server integriert, als Reverse Proxy eingesetzt oder als Cloud-basierte Lösung bereitgestellt werden. Beliebte WAF-Lösungen sind z. B. Cloudflare WAF, ModSecurity und AWS WAF.
  • Ich hoffe, das ist nicht der Standard SSH Port, denn dann ist dein Rechner jetzt mindestens 1 Attacke pro Sekunde ausgesetzt. Was sagt dir Fail2Ban?

    Also, ich bin der Meinung, weil die meisten Hacker auch das Programm nmap und dessen Nutzung kennen werden, dass man sich das Verschieben des Ports 22 und auch Weiterer getrost schenken kann. Denn solche oder auch ähnliche Attacken sehe ich eher mal als Grundrauschen an und gehören mittlerweile zum Alltag.

  • Ich verstehe Beitrag #44 nicht Flaschensammler

    Ich bin mir sicher, dass frank_m weiß, was fail2ban und WAF sind. Die Frage war eher, ob du das weißt und entsprechend einsetzt zur Absicherung des Servers. Inwiefern hilft es, wenn du nun Erklärungen dazu aus dem Netz kopierst? Das führt uns nicht wirklich weiter.


    Auch wenn einige Hilfestellungen hier etwas schroff wirken, dienen sie alle wirklich nur der Sicherheit deines Servers.

  • Also, ich bin der Meinung, weil die meisten Hacker auch das Programm nmap und dessen Nutzung kennen werden, dass man sich das Verschieben des Ports 22 und auch Weiterer getrost schenken kann.

    Ich hatte seit Verschiebung des Ports keine Anmeldeversuche mehr. So viel dazu. Probier es aus.


    Es gibt keine Alternative in diesen Breich

    Dann macht man es gar nicht. Oder steigst du in ein Flugzeug mit Löchern im Boden?


    Wie hast du deine Anwendungen denn nun mittels WAF und Fail2Ban abgesichert? Bei der Firewall hast du wirklich an alles gedacht? Auch an IPv6?

  • Also, ich bin der Meinung, weil die meisten Hacker auch das Programm nmap und dessen Nutzung kennen werden, dass man sich das Verschieben des Ports 22 und auch Weiterer getrost schenken kann. Denn solche oder auch ähnliche Attacken sehe ich eher mal als Grundrauschen an und gehören mittlerweile zum Alltag.

    Stimme ich dir zum Teil zu. Wenn ich mir die Statistiken meiner Protokolle der letzten Jahre anschaue, dann kann ich dir sagen, dass das Portscanning mit der höhe der Ports abnimmt. Zudem kommt es darauf an, ob du einen Reject oder Drop auf den geschlossenen Port machst. Auch sind bei mir grundsätzlich keine Pings zulässig. Klar, der Scan mit NMAP würde immer noch funktionieren. Aber ein Scan über 65535 Ports wird dadurch über Stunden hinaus gezögert.
    Du verhinderst damit keinen Zugriff, aber die Lust diesen Scan zumachen.
    Wenn du dann noch einen sporadischen Portwechsel vornimmst, wird es noch langwieriger.

    Im Schnitt sind meine Ports 3-14 Tage belegt. Bei Zugriffshäufung noch kürzer.

    EDIT: Auch wenn es im ersten Augenblick nicht Sinnvoll erscheint - Ich hasse IPv4. Das ist das erste was ich abschalte. Wenn Dienste erreichbar sein sollen, dann ausschließlich über IPv6. Auch diverse Clouds und FTPs nur über IPv6.

  • Dann macht man es gar nicht. Oder steigst du in ein Flugzeug mit Löchern im Boden?

    Ich hatte mit Icecast-kh Probleme was mit sicherheit zu tun hat also kann man es nicht mit einen Flugzeug mit Löchern im Boden vergleichen man kann auch alles Schlecht reden es gibt moentan eine alternativen in Radio streaming des weiteren verwenden auch die öffentlich rechtlichen in breich radio denn Icecast-kh und auch Laut.fm verwendet in wenn da sicherheits Lücken geben würde beim Icecast-kh würde das schon Längst bekannt sein

  • Ich hatte mit Icecast-kh Probleme was mit sicherheit zu tun hat also kann man es nicht mit einen Flugzeug mit Löchern im Boden vergleichen man kann auch alles Schlecht reden es gibt moentan eine alternativen in Radio streaming des weiteren verwenden auch die öffentlich rechtlichen in breich radio denn Icecast-kh und auch Laut.fm verwendet in wenn da sicherheits Lücken geben würde beim Icecast-kh würde das schon Längst bekannt sein

    Das Zitat würde ich anders angehen. Mein Flugzeug hat weder Fenster noch Türen oder andere Öffnungen.
    Meine Öffnungen schaffe ich mir kontrolliert selber und wenn es nur das Loch für eine Positionslampe ist.

  • Ich hoffe, das ist nicht der Standard SSH Port, denn dann ist dein Rechner jetzt mindestens 1 Attacke pro Sekunde ausgesetzt. Was sagt dir Fail2Ban?




    Das ist harmloses Grundrauschen, welches man getrost ignorieren kann. Man kann über SSH nicht so schnell Passwörter durchprobieren, dass man eine ernsthafte Chance hat, was zu erraten. Auch Tools wie fail2ban sind nicht notwendig, vbesser wäre es, nur Key-basierte Authentifizierung zuzulassen.


    Und solange er auf dem Server sonst nichts installiert, braucht er auch keine Firewall, was soll die denn blocken?


    EDIT: Ein Jahr hat irgendwas um die 32 Millionen Sekunden, wenn man da jede Sekunde ein Passwort ausprobiert sind das um die 25 Bit Entropie und somit kein ernsthafter Angriff.

  • Ich hatte seit Verschiebung des Ports keine Anmeldeversuche mehr. So viel dazu. Probier es aus.

    Das brauche ich erst gar nicht auszuprobieren. Denn ich habe dieses Problem mit dem Port 22 so umschifft, dass dieser Port und auch Weitere bei meinen kritischen Servern nur noch hinter einem weiteren Server als Geteway mit VPN-Tunnel und nur noch über das dahinterliegende vLAN erreicht werden können.

  • Das ist harmloses Grundrauschen, welches man getrost ignorieren kann.

    Und die letzte OpenSSL Lücke von vor ein paar Wochen ist euch allen egal?


    Und solange er auf dem Server sonst nichts installiert, braucht er auch keine Firewall, was soll die denn blocken?

    Woher willst du wissen, dass er nichts anderes installiert hat? Zwei Dienste kennen wir ja schon. Ich vermute, er weiß selber nicht, was da sonst noch läuft.


    Ich hatte mit Icecast-kh Probleme was mit sicherheit zu tun hat

    Ja, eben. Viele andere auch. Und das macht dich nicht besorgt?


    des weiteren verwenden auch die öffentlich rechtlichen in breich radio denn Icecast-kh und auch Laut.fm verwendet

    Das steht wo? Außerdem: die wissen, wie man einen Server absichert.


    Generell: wenn du dir bei der Konfiguration deines Servers genau so viel Mühe gibst, wie beim Verfassen deiner Beiträge, dann schalte ihn besser sofort ab. Ein derartig katastrophaler grammatikbefreiter Buchstabenbrei ist mir selten untergekommen.


  • Generell: wenn du dir bei der Konfiguration deines Servers genau so viel Mühe gibst, wie beim Verfassen deiner Beiträge, dann schalte ihn besser sofort ab. Ein derartig katastrophaler grammatikbefreiter Buchstabenbrei ist mir selten untergekommen.

    Ich habe es hier schon mal gesagt das ich eine 80% Geistige Behinderung habe die da herkommt weil die Frau die mich Geboren hat werden der Schwangerschaft gesoffen hat ich gehe auch da mit offen um mich nerven diese diskriminierung meiner Rechtschreibung bevor man jetzt sagt wo her sollte ich das wiessen es teht auch hier in meinen Forum Profil

  • Und die letzte OpenSSL Lücke von vor ein paar Wochen ist euch allen egal?


    Falls das die war, wo der Angriff ne halbe Ewigkeit gedauert hat, um ne Race Condition auszulösen: Ja, die war viel zu unpraktisch für die freie Wildbahn.


    Generell stören mich bei Threads wie diesem hier zwei Sachen: Zum einen, wie manche Teilnehmende aus mangelndem Wissen von Neulingen gleich ein riesengroßes Gefahrenpotential herbei reden - dabei passiert da außer nem Abuse-Hinweis aller Wahrscheinlichkeit nach erstmal gar nix, und dann fixt man das entweder oder wird gekündigt, und in beiden Fällen hat man was gelernt.


    Und dann ist da die Art und Weise der Diksussionsführung, welche mich in uangenehmster Art an das deutschsprachige Usenet von früher erinnert - toxische Antworten, natürlich nur zum Wohle des OP. Es hat Ewigkeiten gedauert, bis hier mal jemand freundlich und mir etwas Empathie geschrieben hat.



    Viele Grüße

    Stefan

  • wenn du dir bei der Konfiguration deines Servers genau so viel Mühe gibst, wie beim Verfassen deiner Beiträge, dann schalte ihn besser sofort ab. Ein derartig katastrophaler grammatikbefreiter Buchstabenbrei ist mir selten untergekommen.

    Zum Hintergrund ist in diesem Thema schon etwas gesagt worden. Bist du wirklich der Meinung, dass du hier weiter den Oberlehrer geben willst? Das Betreiben von Servern ist nicht nur ausgebildeten Admins mit 20 Jahren Berufserfahrung erlaubt. Reißt euch alle doch mal etwas zusammen. Wenn nur noch Profis das Netz machen, wird's wahrscheinlich teuer und langweilig. Ich will nicht, dass an jedem Stück Software dransteht, dass die nur von IT-Fachkräften installiert werden darf, wie der Hinweis auf der 10 Euro Lampe aus dem Baumarkt, dass die nur eine Elektrofachkraft (60€/h plus Steuer und Anfahrt...) anbringen darf. Strom ist lebensgefährlich und Hacker machen dich arm.

  • Mensch, der fragt hier nicht, wie beim Schützenpanzer der Gang reingeht, damit er zum Einkaufen in den Supermarkt fahren kann. Der will ein paar Streams abspielen. Wenn ihm die virtuelle Kiste aufgemacht wird, schaltet Netcup die ab. Im Internet gibt es unzählige Zombierechner, und sehr viele davon hängen an Internetanschlüssen, um die sich niemand kümmert. Wenn da eine Abusemeldung eingeht, wird gar nichts abgeschaltet oder auch nur irgendjemand informiert. Ich habe selbst schon Email-Ping-Pong mit Universitätsadmins gespielt, bis die gemerkt haben, dass jemand Spamschleudern aus ihren Computern gemacht hat. Ich glaube, die Welt wird nicht untergehen, wenn mal jemand mit Software hantiert, ohne einen Plan für den Ernstfall zu haben. Wenn Profis das passiert und ganze Unternehmen runtergefahren werden, wird auf irgendeinen APT verwiesen und die Versicherung bezahlt die Angreifer, da ist man halt machtlos, aber der kleine Privatmensch soll den sicheren Server aufsetzen?

  • Mensch, der fragt hier nicht, wie beim Schützenpanzer der Gang reingeht, damit er zum Einkaufen in den Supermarkt fahren kann. Der will ein paar Streams abspielen.

    Natürlich. Da die Hacker alle so ein gutes Herz haben, werden sie den Server bestimmt nicht angreifen. Gehts noch? Was er damit machen will, ist doch völlig egal. Es geht darum, was er nicht macht, nämlich den Server absichern.


    Klar, jetzt ist alles ganz harmlos. Aber wenn die Netcup IPs dann wieder auf Blacklisten landen, ist das Geschrei groß. Habt ihr euch mal gefragt, warum das andauernd passiert? Diese Verharmlosung ist der Skandal, und nicht die Warnung vor dem Problem und dem leichtsinnigen Umgang damit.


    Flaschensammler: nur weil dich jemand trotz deiner Behinderung behandelt, wie jeden anderen, ist das noch keine Hetze. DAS verharmlost wirkliche Hetze und ist ebenfalls inakzeptabel. Denk mal drüber nach.