Michael Ranner

Artikel-Schlagworte: „Security“

With iXhash we have a plugin for SpamAssassin, which computes MD5 checksums of fragments of the body of an e-mail and compares
them to those of know spam. As such it works very similar to Razor and DCC, which are already included in SpamAssassin.

The project is hosted by the same people who run the NiX Spam DNSBL: https://www.ranner.eu/2010/06/nix-spam-dnsbl-als-gute-alternative-fur-uceprotect-level-1/

iXhash can be simply installed from the FreeBSD ports tree: cd /usr/ports/mail/spamass-ixhash && make install clean

Eine Studie, welche mit Hilfe der Software Blind Elephant erstellt wurde und auf der Black Hat Koferenz in Las Vegas präsentiert wurde, zeigt den prozentuellen Anteile von relevanten Sicherheitslücken verteilt auf einzelne Open Source CMS Software Systeme. Dabei schneidet WordPress im Vergleicht zu Joomla und Konsorten relativ sicher ab.

http://www.azedo.at/2010/08/wordpress-im-vergleich-sicher/

Auf meiner Unternehmensseite habe ich einen kurzen Artikel über die NiX Spam DNSBL geschrieben:

http://www.azedo.at/2010/06/nix-spam-dnsbl-als-gute-alternative-fur-uceprotect-level-1/

Der zweite Grazer BSD Stammtisch war ein voller Erfolg… Wir konnten die Zahl der Teilnehmer mehr als verdoppen. Es wurde über einige Themen wie VirtualBox, portmaster, eine mögliche Teilnahme an der EuroBSDCon im Herbst dieses Jahre und die Veranstaltung von BSD Events am nächsten Grazer Linuxtag, im Frühjahr 2011, gefachsimpelt – aber auch völlig „belangloses“ besprochen.

Termin des nächsten Stammtisches ist noch offen, wird aber sowohl in meinem Blog als auch auf der eigenen Facebook Seite angekündigt:

http://www.facebook.com/pages/Grazer-BSD-Stammtisch/123675680996837

Nachdem ich seit geraumer Weile auf der Suche nach einer vernünftigen Lösung zur Erkennung und Verhinderung von Brute Force Attacken auf Standard Services wie SSH unter FreeBSD und Linux bin, habe ich mich entschieden mit DenyHosts einen Versuch zu starten. Bis auf das Faktum, das es sich um ein Phyton Script handelt, ist vor allem auch die Möglichkeit interessant, im Synchronisationsmodus präventiv Host IP Adressen von einem zentralen Sync-Server des DenyHosts Projektes zu beziehen, welche bereits von anderen DenyHosts Usern als Angreifer gemeldet wurden.

http://denyhosts.sourceforge.net/

Derzeit wird einem der Betrieb von öffentlichen Services wie FTP, POP3, IMAP und SSH ziemlich erschwert. Wer kennt das nicht, kaum ein Tag, der nicht ohne Reports von hunderten oder gar tausenden Brute-Force-Attacken gegen einen dieser genannten Dienste vergeht. Der Einsatz von dieversen Brute-Force-Blockern ist inzwischen fast nicht mehr wegzudenken, aber es gibt auch auf anderer Ebene Möglichkeiten, das System gegen diese Art von Attacken etwas robuster zu machen. Das Schlüsselwort lautet Rate-Limits im inetd.conf von FreeBSD:

Folgende Flags sollten für den inetd in der rc.conf gesetzt werden:

inetd_flags=“-wW -C 60 -R 60″

Dies setzt global die Anzahl der maximalen gleichzeitigen Verbindungen von einer eindeutigen IP Adresse auf 60 bzw. die Anzahl der maximalen Verbindungsaufbauversuche vom einer IP Adresse pro Minute auf 60. Diese Werte müssen natürlich sinnvoll an die jeweiligen Gegebenheiten angepasst werden.

Weiters besteht noch die Möglichkeit je Service derartige Limits zu definieren:

ftp stream  tcp nowait/128/30/8 root    /usr/libexec/lukemftpd  ftpd -l -l -r -u -X -V „ftpd“

Diese Parametrierung setzt die maximale Gesamtanzahl aller gleichzeitigen Clients für FTP auf 128, bzw. 30 Verbindungsversuche pro Minute und IP, sowie maximal 8 gleichzeitige Client-Verbindungen pro IP Adresse.

Diese Einstellungen werden zwar keine Brut-Force-Attacken verhindern, sie werden aber den dafür notwendigen Zeitaufwand deutlich erhöhen und erschweren.