Verhindern von Brute-Force gegen FTP

FreeBSD - The Power to ServeDerzeit wird einem der Betrieb von öffentlichen Services wie FTP, POP3, IMAP und SSH ziemlich erschwert. Wer kennt das nicht, kaum ein Tag, der nicht ohne Reports von hunderten oder gar tausenden Brute-Force-Attacken gegen einen dieser genannten Dienste vergeht. Der Einsatz von dieversen Brute-Force-Blockern ist inzwischen fast nicht mehr wegzudenken, aber es gibt auch auf anderer Ebene Möglichkeiten, das System gegen diese Art von Attacken etwas robuster zu machen. Das Schlüsselwort lautet Rate-Limits im inetd.conf von FreeBSD:

Folgende Flags sollten für den inetd in der rc.conf gesetzt werden:

inetd_flags=“-wW -C 60 -R 60″

Dies setzt global die Anzahl der maximalen gleichzeitigen Verbindungen von einer eindeutigen IP Adresse auf 60 bzw. die Anzahl der maximalen Verbindungsaufbauversuche vom einer IP Adresse pro Minute auf 60. Diese Werte müssen natürlich sinnvoll an die jeweiligen Gegebenheiten angepasst werden.

Weiters besteht noch die Möglichkeit je Service derartige Limits zu definieren:

ftp stream  tcp nowait/128/30/8 root    /usr/libexec/lukemftpd  ftpd -l -l -r -u -X -V „ftpd“

Diese Parametrierung setzt die maximale Gesamtanzahl aller gleichzeitigen Clients für FTP auf 128, bzw. 30 Verbindungsversuche pro Minute und IP, sowie maximal 8 gleichzeitige Client-Verbindungen pro IP Adresse.

Diese Einstellungen werden zwar keine Brut-Force-Attacken verhindern, sie werden aber den dafür notwendigen Zeitaufwand deutlich erhöhen und erschweren.

1 Kommentar zu „Verhindern von Brute-Force gegen FTP“

Kommentieren