Aktuelles » Fallensteller

Fallensteller

Fail2ban

Das Programm fail2ban sollte auf keinem öffentlichen Server fehlen. Es durchstöbert die Protokolle und sperrt auf Grund bekannter Muster eine Vielzahl von Angreifern nach einer einstellbaren Anzahl von Versuchen aus.

Das funktioniert ausgezeichnet, der Schwachpunkt liegt jedoch bereits im letzten Satz: Auf Grund bekannter Muster! Wie aber lerne ich die Muster kennen? Wenn ich die Erfahrung habe, kann es schon zu spät sein!

Dennoch ist das Programm ein Muss, denn viele Angriffsmuster sind bekannt. Der Angreifer hat 3 Versuche frei, anschließend darf er eine Stunde Pause machen.

Honey Pots und Spider Traps

Nicht nur die bösen Cracker, auch die guten Hacker (*) sind auf Zack. Der Honigtopf lockt, wie alle Welt weiß, die Fliegen an. Und so lockt unser Honigtopf die Cracker, Script-Kiddies, Adressensammler und andere Schädlinge an. Dort hinterlassen sie ihre Spuren, und so kommt der Verteidiger zu den Mustern, die er braucht.

Aktuell behindern oft alle möglichen Spider (auch Robots oder kurz Bots genannt) den laufenden Betrieb. Diese Spinnen sitzen im Netz und laufen von einer Verküpfung zur nächsten. Auf diese Art "lesen" sie das gesamte Internet. Das kann sinnvoll und sogar erwünscht sein, weil es die Dienste der Suchmaschinen ermöglicht, auf die niemand mehr verzichten möchte. Es kann aber auch schädlich sein, wie z.B. die Bots der Spammer, die sich auf diese Weise mit aktuellen Mail-Adressen versorgen.

Es ist unmöglich, jeden Spider im Netz zu kennen, zumal die bösartigen unter ihnen nur allzugern ihre wahre Identität verschleiern. Aber man kann sie an ihrem Verhalten erkennen. Ein "guter" Spider gibt sich zu erkennen, und er hält sich an die Spielregeln, die ich ihm in der Datei "robots.txt" im Stammverzeichnis jedes Webauftritts mitteile.

Ich verbiete also allen Spidern ein bestimmtes Verzeichnis zu lesen, setze aber einen (fast) unsichtbaren Link darauf, dem der Spider folgen kann. Die "guten" Spider respektieren dieses Verbot, die "bösen" setzen sich darüber hinweg und tappen damit in die Falle, die dort lauert. Ist der Bösewicht in die Falle getappt, ist es ein Leichtes, ein bekanntes Muster für fail2ban in das Protokoll zu legen.

Mit diesem einfachen Trick kann man den Angreifer dazu bringen, das notwendige Muster selbst zu erzeugen.

Ein ähnliches Verfahren bietet das Project Honey Pot, das ich aktuell teste:

Stop Spam Harvesters, Join Project Honey Pot

Das Projekt bietet die Möglichkeit, online über einen DNS-Service eine Blacklist abzufragen und damit ggfls. die bösen Jungs auszusperren. Einen Honigtopf habe ich schon nach deren Richtlinien gebaut, an das Modul für den Webserver traue ich mich noch nicht. Statt dessen unternehme ich einen Versuch über ein Modul für osCommerce, das TheKnight veröffentlicht hat.

Cui bono, oder wem nützt es?

Nicht jeder Spider, auch nicht alle, die sich an die Spielregeln halten, sind von Nutzen. Jeder einzelne verursacht Traffic, verursacht Last auf der Datenbank und zieht Rechenleistung. Deshalb ist es natürlich nötig, die Datei robots.txt ordentlich zu pflegen. Dabei muss ich vermeiden, dass ich wichtige Suchmaschinen von dem Inhalt fernhalte, den ich veröffentlichen möchte.

Eine Hilfestellung dazu gibt mir die Statistik. Ich führe Statistiken über awstats. Sie teilen mir mit, woher meine Besucher kommen, und so erfahre ich auch, welche Spider mir nützen. Die Statisik nennt mir auch die Spider, die sich als solche zu erkennen geben.

 

 

(*) Irgendein Journalist hat den Begriff "Hacker" einmal falsch verstanden. Seither glaubt alle Welt, die Hacker seien die Bösen. Und warum? Weil ein Journalist vom anderen abschreibt.

Was ein Hacker wirklich ist, und wie man einer wird, hat Eric Steven Raymond in seinem Dokument "How to become a Hacker" explizit beschrieben. Hier ein kurzer Auszug aus der deutschen Übersetzung:

"Es gibt noch eine andere Gruppe von Leuten, die sich lautstark als Hacker bezeichnen, diesen Namen aber in keinster Weise verdient haben. Es sind Menschen (meist pubertierende männliche Wesen), welche einen Spaß daran haben, in Computer einzubrechen und das Telefonnetz zu zerstören. Echte Hacker nennen diese Leute "Cracker" und wollen mit ihnen nichts zu tun haben. Wirkliche Hacker halten Cracker für ein faules, unverantwortliches und nicht besonders schlaues Pack, denn genauso wenig, wie man durch das Knacken von Sicherheitscodes ein Hacker wird, wird man durch das Kurzschließen eines Autos zu einem KFZ-Mechaniker. Unglücklicherweise sind viele Journalisten und Schreiber darauf verfallen, das Wort Hacker als Beschreibung von Cracker zu verwenden; dies verärgert echte Hacker ungemein...

Der grundlegende Unterschied ist dieser: Hacker bauen Dinge auf, Cracker zerstören sie."

Powered by Etomite CMS.