Angemessene Reaktion bei Brute-Force-Attacke

  • Hallo zusammen,


    ich habe seit Neustem einen VPS 200 G10s gemietet und bin dabei, einen Asterisk-Sever aufzusetzen. Bisher habe ich das nur in abgesicherten privaten Netzen gemacht.


    Ich sehe mich jetzt erstmals damit konfrontiert, dass von einer mir unbekannten IP aus bis zu 3 Mal pro Sekunde versucht wird, sich auf dem Server mit Benutzernamen + Passwort zu registrieren.


    Ist das normal, dass die Server, sobald sie im Internet sind, angegriffen werden?


    Was ist nach Eurer Erfahrung eine angemessene Reaktion?

    Der Zugriff der IP-Adresse per Firewall zu unterbinden – Sache erledigt? Oder sollte man da noch mehr machen (sichere Passwörter sind selbstverständlich)?


    Viele Grüße

    Gerhard

  • Moin,

    das ist normal, schau dir mal Fail2ban an da gibts entsprechende Möglichkeiten für Apache und NGINX Jails einzurichten und Nutzer zu sperren die sich zu oft einloggen wollen.

    Ist leider "normal" aber auch ein Zeichen, dass es in der von dir verwendeten Version evt. einen Exploit oder ähnliches gibt auf das der Angreifer es abzielt.

  • Ist ganz normal - Fail2Ban ist auf jedenfall wichtig.


    SSH mit Key und den Port änder irgendwo in 30k Bereich. Ebenso sollte man vernünftiges Monitoring haben und entsprechende Benachrichtigungen.


    Sollte der Zugriff per Domain erfolgen kann man noch auf Cloudflare setzen.

    Passwörter 20 Zeichen Plus.

    Was genau bei Asterix zu beachten ist - weiss ich aber leider nicht - der Rest sind allgemeine Sachen

  • Danke für Eure Antworten.

    Da bin ich ja beruhigt, dass das "normal" ist. :wacko:


    Fail2Ban und Cloudflare werde ich mir ansehen. Ob ich den SIP-Port verschiebe, muss ich mir noch überlegen. Letzten Endes will ich einen SRV-Eintrag bei meiner Domain setzten, dann ist der eh bekannt.


    H6G:

    Was meinst Du damit?

    Zitat

    Jails für SSH und Asterisk / SIP aktivieren.

  • Ob ich den SIP-Port verschiebe, muss ich mir noch überlegen. Letzten Endes will ich einen SRV-Eintrag bei meiner Domain setzten, dann ist der eh bekannt.

    Eventuell, wenn du deinen SIP-Server bei Netcup alleine nutzen solltest, den SIP-Server hinter einem Site to Site angebundenen VPN-Tunnel zu packen. Denn damit kannst du solches oder auch ähnliches Grundrauschen extremst absenken.

  • andreas.

    Danke für den Tipp. Ein VPN-Tunnel ist eine interessante Idee; mein Telefon beherrscht OpenVPN.

    Mein Ziel ist es, unter der URI

    Code
    sips://user@meinedomain.tld

    erreichbar zu sein. Also die INVIDE-Nachrichten müssen über das Internet kommen.


    Aber die REGISTER - Nachrichten (über die ich angegriffen werde) könnten über ein VPN laufen. Muss mal schauen, ob Asterisk das kann.

  • Ist ganz normal - Fail2Ban ist auf jedenfall wichtig.


    SSH mit Key und den Port änder irgendwo in 30k Bereich. Ebenso sollte man vernünftiges Monitoring haben und entsprechende Benachrichtigungen.

    Was mir zusätzlich zu fail2ban und nftable als Monitoring dient ist Logwatch https://sourceforge.net/projects/logwatch/ (ist in vielen Linux Distros Repos enthalten).


    Generiert tägliche Reports aus verschiedensten Logfiles. Somit kann ich dann auch fail2ban bzw. meine Blocklisten in nftables weiter verfeinern.


    Gibt einem auch eine gute Übersicht, was gerade wieder so generell an Attacken los ist.

  • Was mir zusätzlich zu fail2ban und nftable als Monitoring dient ist Logwatch https://sourceforge.net/projects/logwatch/ (ist in vielen Linux Distros Repos enthalten).

    Danke!


    Das Monitoring der Logs stellt mich vor eine Herausforderung. Was mir bei Debian 11 aufgefallen ist, ist dass z.B. fail2ban oder logwatch einen Mail Transfare Agent (MTA) vorschlagen, bzw. sogar fordern.


    Einen MTA wie z.B. exim4 empfinde ich aber übertrieben. Ich bin nicht begeistert, wenn ich deswegen Zugangsdaten eines Mail-Accounts auf dem Asterisk-Server ablegen müsste, damit dessen Monitoring-Werkzeuge autonom Mails versenden können.


    Macht Ihr das so, oder gibt es bessere Alternativen?

  • Wenn Du keine mail willst, sollte folgendes funktionieren:

    sudo apt install --no-install-recommends fail2ban


    Weil mailx keine dependency ist. Siehe https://packages.debian.org/bullseye/fail2ban


    iptables/nftables, ... musst Du dann halt noch dazu installieren.

  • falls du tatsächlich keinen »richtigen« MTA benötigst, könntest du ssmtp verwenden (quasi ein mailkurier, umgekehrt wie fetchmail).

    mails wirst du aber irgendwie immer mal rauslassen müssen, deshalb verwende ich für solche szenarien maschinen-eigene mailkonten, wie z.b. bei gmail o.ä., die dann entsprechend zu mir weiterleiten.

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • sudo apt install --no-install-recommends fail2ban

    Die Option kannte ich noch nicht. Gut zu wissen, danke.

    logwatch z.B. benötigt aber leider den default-mta.

    falls du tatsächlich keinen »richtigen« MTA benötigst, könntest du ssmtp verwenden (quasi ein mailkurier, umgekehrt wie fetchmail).

    mails wirst du aber irgendwie immer mal rauslassen müssen, deshalb verwende ich für solche szenarien maschinen-eigene mailkonten, wie z.b. bei gmail o.ä., die dann entsprechend zu mir weiterleiten.

    Für E-Mails habe ich ein Webhosting-Paket bei netcup – also einen "richtigen" MTA habe ich.


    ssmtp werde ich mir ansehen, danke!

    Ich habe mir auch mal den DragonFly Mail Agent angesehen. Habt Ihr damit Erfahrung?


    Eigentlich sind diese beiden Programme, für meine Zwecke aber auch noch überdimensioniert. Ich möchte den Asterisk-Server so einfach wie möglich halten. Das SMTP-Protokoll, also das Senden von Mails über ein Netzwerk, muss er nicht können. Mir würde eine Möglichkeit reichen, bei der die Mails lokal z.B. in /var/spool/mail/user abgelegt werden.


    Kennt Ihr da was?

  • kleiner Tip zu Asterisk: auch auf SIP-Ports sind Brute-Force-Angriffe extrem häufig. Daher sollte man für die SIP-Ports im Firewall die zulässigen IP-Adressen white-listen.


    Ich betreibe einen Asterisk in meinem Heimnetz und erlaube nur den SIP-Servern von Vodafone-Kabel und von sipgate auf meine Asterisk-Instanz vom Internet her zuzugreifen. Ohne diese Sicherheitsmaßnahme haben die SIP-Brute-Force-Angriffe meine Internetverbindung lahmgelegt - etwa eine Stunde nachdem der Asterisk vom Internet aus ereichbar war.

  • Ich betreibe einen Asterisk in meinem Heimnetz und erlaube nur den SIP-Servern von Vodafone-Kabel und von sipgate auf meine Asterisk-Instanz vom Internet her zuzugreifen.

    Würde ich nicht empfehlen den, oder einen SIP Port für das externe Profil in der Firewall freizugeben.

    Bei mir sind eingehend nur related, established und NAT Verbindungen erlaubt.


    Sipgate kommt sehr gut mit Firewalls klar, bei der Telekom muss man ab und an ein Option Paket schicken, damit die Firewall offen bleibt.

    Invites kommen ohne weiteres mit related, established durch, da durch das Register für den Endpunkt die Firewall eingerichtet wurd.

    UPnP deaktivieren.

  • Die Option kannte ich noch nicht. Gut zu wissen, danke.

    Ich würde generell empfehlen, das in die apt.conf einzutragen: https://askubuntu.com/a/179089/294302

    Mir würde eine Möglichkeit reichen, bei der die Mails lokal z.B. in /var/spool/mail/user abgelegt werden.

    Das kann jeder vernünftige Mailserver. Postfix kann man z.B. "local only" genau so konfigurieren, sogar bequem über dpkg-reconfigure.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1
  • kleiner Tip zu Asterisk: auch auf SIP-Ports sind Brute-Force-Angriffe extrem häufig. Daher sollte man für die SIP-Ports im Firewall die zulässigen IP-Adressen white-listen.

    Danke für den Tip und Deinen Hinweis mit den Brute-Force-Angriffen. Das wird spannend …


    Die SIP-Ports generell zu white-listen ist für meine Anwendung schwierig. Bei den SIP-Register-Nachrichten kann ich das vielleicht – ich weiß welche Geräte sich auf dem Server registrieren dürfen. Bei den SIP-Invide-Nachrichten geht das denke ich nicht. Ich will ja von extern angerufen werden können. Ich weiß noch nicht, ob man die Register- / Invide-Nachrichten über getrennte Ports schicken kann.


    Ich finde das Konzept von fail2ban prinzipiell überzeugend. Die Idee, nur IP-Adressen zu sperren von denen Attacken ausgehen, leuchtet mir ein.


    Ich würde generell empfehlen, das in die apt.conf einzutragen: https://askubuntu.com/a/179089/294302

    Das kann jeder vernünftige Mailserver. Postfix kann man z.B. "local only" genau so konfigurieren, sogar bequem über dpkg-reconfigure.

    Danke, da muss ich mich noch genauer einlesen.