fail2ban Problem

**schani** · 21.07.16, 10:41

Hallo, ich setze seit einiger Zeit fail2ban ein um den Server abzusichern.
Über einen eigenen Eintrag möchte ich nun eigne IP sperren, bzw. IP´s die ich von Blacklisten habe. Das funktioniert auch gut.

Jetzt habe ich aber so 30000 IP Adressen drin und es dauert ewig bis ich einen fail2ban restart machen kann da jedes mal alle IP´s UNBAN`nd werden und nach dem Start wieder alle in iptables eingetragen werden. Das dauert Stunden. Die blacklisten ändern sich auch ständig, was dann immer Stunden dauert bis alle neu eingelesen werden.

Ist das normal? Hab ich da noch eine falsche Einstellung in fail2ban? Ich brauch doch auch nicht jedes mal eine Email mit allen Whois Infos zu jeder IP Adresse. Das dauert alles.

Besten Dank für Tipps

Christian

**DrunkenFreak** · 21.07.16, 10:55

Sperr die IPs doch unabhängig von fail2ban in einer eigenen Chain.

**marce** · 21.07.16, 11:00

So ganz ohne Fakten kann man wohl nur raten.

Mein erster (Gedanken-)Ansatz wäre immer noch: WTF brauche ich so umfangreiche Sperrlisten? f2b ist dafür gedacht, dynamisch zur Laufzeit aktuelle Anfragen zu bewerten und ggf. zu bannen - es ist eigentlich aus Sicht des Systems sinnfrei, dort prophylaktisch IPs zu bannen, von denen man noch nicht mal weiß, ob sie denn überhaupt für einen relevant sind.

Wenn man dann noch überlegt, daß man bei vernünftiger Dienste-Konfiguration f2b eigentlich gar nicht braucht...

**florian0285** · 21.07.16, 12:18

Welche Dienste sind das und wer nutzt die?
Du könntest daran Adressbereiche, die nie darauf zugreifen dürfen ausschließen.
Ich finde ne so umfangreiche Blacklist auch übertrieben.

**fork** · 21.07.16, 14:04

Das Blacklisting-Konzept im Zusammenhang mit fail2ban finde ich sehr gut. Das finde ich deswegen gut, da Angreifer ja auch ganz leicht global operieren können, welche dann gemeinschaftlich erkannt und gersperrt werden. Ein NMAP bei IPv4 auf die ganze Welt ist eine Sache von Minuten.

Ich habe das selbst für unseren SIP-Server im Einsatz. Zusätzlich habe ich da auch nur alle deutschen und ungarischen IPs freigeschaltet, was insgesamt so ca. 25000 Regeln(Siehe: http://www.voipbl.org) sind. Dauert beim hochfahren 30 Minuten bis die alle eingetragen sind.

**florian0285** · 21.07.16, 15:20

Wenn die Regeln solange brauchen finde ich das nicht optimal. Da würde ich eher wöchentlich oder monatlich updaten, was dann auch ein zu langer Zeitraum für dynamische IP's wäre. Ich teile da marce's Ansicht, dass die Funktion von fail2ban blacklists obsolet macht. Dass es dennoch möglich ist, ist aber nicht schlecht. Jedoch muss man die Liste nicht dermaßen überladen.

nmap WELT in ein paar Minuten ist etwas utopisch übertrieben.

Bei einem einfachen sequentiellen pingsweep bei ~50ms pro ping und 170Mio IP Adressen benötigst du 8,5 Mio Sekunden das sind 2,361111111 Tausend Stunden. Etwa 3,7 Monate.

Ein aussagekräftiger Portscan von nmap dauert bei mir als Beispiel von meinen Aufzeichnungen 10 Hosts über VPN ~1Mbit upload jedoch alle TCP Ports ~75 Minuten.

Bei mehr Upload und verteilten Aufgaben ist das auf jeden Fall schneller, aber irgendwo sind auch grenzen.

Ggf blockiert man durch so eine Liste einen Proxy, VPN Service oder Tor ExitNode dauerhaft und sperrt somit auch die unschuldigen user.

Ich finde diese Blacklist insofern sinnlos, da sie eher Scriptkiddies aufhalten, was Fail2Ban bereits erledigt, und "die Professionellen" über Botnets und Co sowieso sich ständig ändernde IP's beschaffen können.

**florian0285** · 21.07.16, 15:25

Wenn z. B. nur ich auf meinen Root-Server zugreifen soll sperre ich Beispielsweise den ganzen Adressbereich außerhalb meines ISP's oder ggf. außerhalb deutscher ISP's wenn ich das bei nem Freund noch nutzen will. Da wäre aber ne whitelist mit vorheriger registrierung über z. B. ein PHP script sinnvoller.

**fork** · 21.07.16, 15:46

nmap WELT in ein paar Minuten ist etwas utopisch übertrieben.

Du kannst auch simultan(gleichzeitig) scannen. Kommt auf Deine Anbindung an, wieviel da gleichzeitig geht. Ich würde mal sagen eine VM mit 1 GBit bekommst Du heutzutage fast überall nachgeworfen. Vielleicht will man ja auch nicht alle 64K Ports scannen, sondern nur so eine Aussage haben wie: Ich hätte gerne mal alle IPs auf der Welt, bei denen Port 5060 offen ist.

Siehe auch:

http://www.securitynewspaper.com/201...n-few-minutes/

**mbo** · 21.07.16, 17:07

Das Konzept des TE's ist weder für einen einzelnen Server geeignet, noch sinnvoll. Fail2ban sollte in diesem Kontext dynamisch genutzt werden.
Wer das Konzept verteidigt, sollte seine Kompetenzen prüfen.

**florian0285** · 21.07.16, 18:53

Zitat von fork

Du kannst auch simultan(gleichzeitig) scannen. Kommt auf Deine Anbindung an, wieviel da gleichzeitig geht. Ich würde mal sagen eine VM mit 1 GBit bekommst Du heutzutage fast überall nachgeworfen. Vielleicht will man ja auch nicht alle 64K Ports scannen, sondern nur so eine Aussage haben wie: Ich hätte gerne mal alle IPs auf der Welt, bei denen Port 5060 offen ist.

Siehe auch:

http://www.securitynewspaper.com/201...n-few-minutes/

In dem Artikel geht es nicht um nmap und das ist einer von diesen "Hack it all with one button" Artikeln.

Ein Pingsweep gleicht in etwa dem was du mit nur 1 Port scannen meinst. Ich hab extra Pingsweep + sequenziell als Beispiel genommen um die Relation zu verdeutlichen und darauf hingewiesen, dass es parallel auch geht nur das hat auch seine Grenzen.

Trotzdem benötigen 65T Hosts ca 2GB Traffic, wenn man nur einen einzigen Port scannt. Das sind grob gesagt 16 Sekunden bei 1GBit. Sind immernoch 12 Stunden, wobei hier egal ist wieviel parallel läuft, da deine Bandbreite voll ist.

Die 2GB hab ich jetzt mal aus meinen Aufzeichnungen hochgerechnet. Rechnerisch kann man das wohl auch nicht so 1:1 ummünzen. Und es gibt auch schnellere scanner als nmap.

Aber nmap Welt in ein paar minuten, ohne Botnetz o. ä. ist nicht möglich.

Edit: kleiner großer Rechenfehler

**fork** · 22.07.16, 13:53

Der Ton in diesem Thread hier ist ja wieder Mal über alle Maßen hinaus unfreundlich. Nix für mich. Ich bin raus.

**marce** · 22.07.16, 15:46

@fork: Wo bitte schön siehst Du hier einen "über alle Maßen hinaus unfreundlichen Ton"?
Nur so rein interessehalber...?

**florian0285** · 22.07.16, 16:08

Wad hat er denn? [emoji15]

**nopes** · 22.07.16, 18:59

Denke das liegt an solchen Aussagen wie

Das Konzept des TE's ist weder für einen einzelnen Server geeignet, noch sinnvoll. Fail2ban sollte in diesem Kontext dynamisch genutzt werden.
Wer das Konzept verteidigt, sollte seine Kompetenzen prüfen.

Die sich meiner Meinung selber disqualifiziert, jedenfalls wenn sie so unbegründet ausgesprochen wird und man kann es verkünden ohne das Gegenüber in ein solches Licht zu stellen.

**mbo** · 23.07.16, 18:37

Ist zwar Themenfremd, aber nun gut: Was stört Dich an meinen Sätzen? Das sie sachlich sind? Oder eher, was dort hinein interpretiert wird?
Zur Erinnerung: fail2ban zur Absicherung eines Servers. Sprich, dieser Server dient nicht der Absicherung. Das Laden der Firewallregel dauert ewig. Das, was der TE erreichen möchte ist von ihm nur grob definiert und das was er erreicht hat, ist nicht sinnvoll im Sinne seiner Anforderung / Erwartung.

Ich könnte noch mehr Worte verwenden, es würde nichts an der Aussage meines ersten Postings ändern. Und zudem sind in diesem Thread schon konstruktive Hilfestellungen gegeben, die das fehlerhafte Konzept zu recht nicht unterstützen.