IP-Sicherheit
Wir sind bestrebt, die Integrität unseres Netzwerks zu wahren, indem wir über alle Cyberangriffe, die auf unsere Server gerichtet sind, Bericht erstatten. Wir sind fest davon überzeugt, dass die Überwachung und Meldung von IP-Angriffen wichtig ist. Zu diesem Zweck haben wir eine Reihe von Massnahmen ergriffen, darunter die Erkennung solcher Angriffe, das Sperren von IP-Adressen und die Meldung dieser Vorfälle an mehrere Stellen. Darüber hinaus nehmen wir Kontakt mit den veröffentlichten Missbrauchskontakten der IP-Adressen der Angreifer auf.
Aktuelle Situation
Der aktuelle Status wurde von der IT-Abteilung und ihren Überwachungstools als «KRITISCH» eingestuft.
- Attacken pro Stunde: 331
- derzeit gesperrte IP-Adressen: 510
- gesperrte IP-Adressen pro Stunde: 6
- die meisten Angreifer kamen aus:
Iran (64), 
Vereinigte Staaten (49), 
Indonesien (46), 
Hongkong (34)
Diagramme
Auflösung wählen: Rohdaten, Tag
Anzahl Elemente wählen: 10, 20, 30
Gesperrte IP-Adressen nach Zeit
Gesperrte IP-Adressen und Attacken pro stunde
Staaten mit den meisten gesperrten IP's
IP-Netzwerke/Organisationen mit den meisten gesperrten IP's
Woher die Daten stammen
Fail2Ban
Wir benutzen einen Dienst namens Fail2Ban.
https://de.wikipedia.org/wiki/Fail2banFail2ban (sinngemäss «Fehlschlag führt zum Bann») ist ein in Python geschriebenes Intrusion Prevention System (Framework zur Vorbeugung gegen Einbrüche), das auf allen POSIX-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen (z. B. iptables unter Linux).
Funktionalität
https://de.wikipedia.org/wiki/Fail2banDer Hauptzweck von fail2ban ist das Bestimmen und Blockieren bestimmter IP-Adressen, die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen. fail2ban ermittelt aus Log-Dateien (u. a. /var/log/pwdfail, /var/log/auth.log oder /var/log/apache2/error.log) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen. Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.
Statistiken
Alle 15 Minuten zeichnet ein Skript auf unseren Servern den gegenwärtigen Status (einschliesslich aller gesperrten IPs) auf. Diese Daten werden in einer Datenbank gespeichert.
GeoIP®
Um die Geolokalisierung einer IP-Adresse yu bestimmen, nutzen wir einen Dienst namens GeoIP®. Die Daten werden von einer Firma namens MaxMind, Inc. bereitgestellt. Unsere lokalen GeoIP®-Datenbanken werden regelmässig mit den Aktuellen Daten von MaxMind aktualisiert.
Whois
Um den Namen des Netzwerkes oder Organisation in unsere Statistiken aufzunehmen, nutzen wir den globalen whois-Verzeichnisdienst. Wenn eine IP-Addresse gebannt wurde, führen wir eine Abfrage des der IP-Addresse zugehörigen Domainnamens (durch DNS aufgelöst) durch, sollte die Abfrage kein Ergebnis liefern, fragen wir die IP-Addresse ab. Die Ausgabe wird analysiert und, wenn vorhanden der Name der Organisation, ansonsten der Name des Netzwerkes extrahiert. Die Daten werden für eine Woche zwischengespeichert, um unnotwendige Abfragen zu verhindern.
Abusix Missbrauchskontaktdatenbank
Da wir Missbrauchsmeldungen per E-Mail an die zuständigen Stellen senden, benötigen wir dafür eine E-Mail-Adresse. Diese erhalten wir über die «Abuse Contact DB», die von einem Unternehmen namens Abusix, Inc. betrieben wird. Dieser Schritt kann von Fail2Ban selbst durchgeführt werden und die Daten werden über einen DNS-Lookup bereitgestellt.
Wohin wir diese Daten melden
Wir melden nur schwerwiegende Missbrauchsversuche, z.B. wenn wiederholt, auch nach zunächst kurzzeitigen Sperrens der IP-Adresse, Missbrauchsversuche getätigt werden.
An die durch abusix benannte E-Mail-Adresse schicken wir, nachdem die Daten von einem IT-Techniker verifiziert wurden, eine Nachricht über den Vorgang. Sie ist im XARF-Format und enthält zudem genaue Logdaten mit den exakten Zeitpunkten der Attacken.
XARF - eXtended Abuse Reporting Format
XARF ist ein JSON-basiertes Format für die Meldung von Missbrauch, Betrug, Viren oder anderen Problemen mit E-Mail-Nachrichten. Es wurde von abusix definiert.
www.blocklist.de
https://www.blocklist.de/de/index.htmlBei www.blocklist.de handelt es sich um einen freien und freiwilligen Service von Abuse-Spezialisten, welche eine große Anzahl an SSH-, Mail-, FTP-, Webserver-Attacken und andere auf ihren Servern erhalten bzw. ausgesetzt sind.
Zu unseren Aufgaben gehört es, die entsprechenden Abuse-Abteilungen der infizierten PCs bzw. Servern zeitnah eine Information zukommen zu lassen, sodass schnellstmöglich eine Überprüfung der Infizierten Systeme durchgeführt werden kann.
Attacken gemeldet: 2'299 - Berichte erzeugt: 353
Darüber hinaus bietet www.blocklist.de DNS-Blocklisten an, mit denen bekannte Angreifer blockiert werden können, bevor sie tatsächlich angreifen. Wir sind dabei, diese Dienste zu implementieren, wodurch die Anzahl der Angriffe auf unsere Server erheblich reduziert werden könnte.
abuseIPDB
Ähnlich wie www.blocklist.de bietet abuseIPDB LLC einen Dienst an, mit dem Benutzer Angriffe melden können und bietet eine umfassende API zum Nachschlagen von IP-Adressen, um festzustellen, ob sie Angreifern gehören.
Links
- Fail2Ban auf GitHub
- MaxMind GeoIP® Databases
- mehr über Whois auf Wikipedia
- abusix Abuse Contact DB
- abusix XARF reporting standard
- blocklist.de
- AbuseIPDB
- Wikimedia-Commons - Quelle der Flaggen
Kommentare
+Kommentar erstellen0 Kommentare warten auf Freigabe
Seien Sie Erste[r] und erstellen Sie einen Kommentar