Discussion:
Warum gibt es für fli4l eigentlich kein Paket a la fail2ban?
(zu alt für eine Antwort)
K. Dreier
2019-02-06 15:09:14 UTC
Permalink
Hallo,

der fli4l ist ja nun mal das Einfallstor in das (heimische) Netzwerk von
uns. Da nicht wenige Leute Dienste hinter dem fli4l laufen haben und
damit ein Loch in die Firewall machen mÃŒssen (und sei es nur der Port
fÌr den VPN), wÀre es doch eigentlich sinnvoll, direkt dem fli4l ein
Tool in die Hand zu geben, das automatisiert das Blocken von IPs unter
gewissen UmstÀnden/Parametern ermöglicht - Stichwort "fail2ban" oder
"denyhost".

Warum gibt es das nicht?

Und nein: das hÀndische Einpflegen von IPs in die Firewall rules ist
keine Lösung, da unsereins besseres zu tun hat, als tÀglich die
Firewall logs zu analysieren - mal ganz davon abgesehen, daß das idR
dann zu spÀt sein dÌrfte. Es gibt Tools dafÌr. Also warum nicht fÌr
fli4l?

Was wÀre eine Alternative?

Fragt sich,
Klaus

PS Konkret wÃŒrde mich am meisten interessieren, wie ich z.B. einen
Zugriff auf meinen VPN-Port sofort droppen kann, wenn eine Anfrage nicht
mit Zertifikat erfolgt - geht sowas?
Stefan Kresse
2019-02-10 16:33:56 UTC
Permalink
Post by K. Dreier
Warum gibt es das nicht?
Nun, der wahrscheinlich wichtigste Faktor dürfte sein, dass es die
Abhängigkeiten auf fli4l gar nicht gibt. Primär ist das Python. Ohne
Python kein fail2ban.

Da müsste schon jemand analog zu Munin-Lite ein fail2ban-lite
schreiben, das nur mit (auf einem minimalen Linux-System verfügbaren)
Shell-Kommandos arbeitet statt mit den in größeren Programmiersprachen
wie Python, Perl & Co üblichen Frameworks/Libs.

Versteh mich nicht falsch: Mir wäre es auch recht, wenn es sowas wie
fail2ban für fli4l gäbe. Aber ich glaube nicht daran, dass sich jemand
die Arbeit macht, das von Python zu portieren.

Grüße
Bernd Kuhls
2019-02-10 19:07:20 UTC
Permalink
Post by Stefan Kresse
Post by K. Dreier
Warum gibt es das nicht?
Nun, der wahrscheinlich wichtigste Faktor dürfte sein, dass es die
Abhängigkeiten auf fli4l gar nicht gibt. Primär ist das Python. Ohne
Python kein fail2ban.
Hallo Stefan,

der Einsatz von Python auf dem fli4l ist grundsätzlich möglich, im
buildroot ist alles Notwendige dafür enthalten:

fli4l 3.10.16-r55016-testing # python -V
Python 2.7.15
fli4l 3.10.16-r55016-testing # python3 -V
Python 3.6.3

Aus Zeitmangel werde ich kein opt_python veröffentlichen, bin aber gerne
für Support über die Mailingliste bereit.

Viele Grüße, Bernd
Dirk Alberti
2019-02-10 20:15:52 UTC
Permalink
Hallo Klaus
Stichwort "fail2ban" oder "denyhost".
Warum gibt es das nicht?
Was wäre eine Alternative?
ich habe das bei mir über den Eisfair mit dem Paket Brute-Force-Blocking
gelöst und schon seit ein paar Jahren in Betrieb.

1. Der Eisfair läuft mit Syslog-NG als Logserver für den Fli4l, womit
auch dessen CF-Karte nicht mit Logfiles unnötig beschrieben wird. Ob das
"normale" Syslog des Eisfair Logserverfunktionalität hat, weiß ich nicht.

2. Die auf dem Eis auflaufenden Logs vom Fli4l werden durch das
BFB-Paket überprüft und die jeweiligen IP-Blocking-Befehle per
Remote-Blocking-Funktion zum Fli4l transferiert und dort ausgeführt.
Fragt sich,
Klaus
PS Konkret würde mich am meisten interessieren, wie ich z.B. einen
Zugriff auf meinen VPN-Port sofort droppen kann, wenn eine Anfrage nicht
mit Zertifikat erfolgt - geht sowas?
Das mit OpenVPN geht damit mit Sicherheit auch einzurichten.


Gruß

Dirk
K. Dreier
2019-02-13 11:20:06 UTC
Permalink
Hallo,

interessantes Setup. Aber dafÌr brÀuchte ich Eisfair (oder einen
sonstigen Server mit vergleichbarer FunktionalitÀt). Sofern nicht
gerade jemand eine Lösung hat, wie das mit einen Raspberry Pi3 (mit
Raspbian!) zu bewerkstelligen wÀre, wird mir dieser Ansatz leider nicht
helfen. Selbst wenn ich auf dem Pi einen Logserver zum Laufen bekÀme
(dÌrfte ja nicht so schwer sein), so hÀtte ich keine Ahnung, wie ich
dann dessen "Erkenntnisse" an den fli4l zur Anpassung von dessen
Firewall-Regeln/Blocklists ÃŒbermitteln wÃŒrde.

Gruß
Klaus

Loading...