Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
kb [2012/11/15 15:30] flacco [Gegenmaßnahmen] |
kb [2014/03/25 20:14] flacco [Postfix, Amavis & Dovecot] |
||
|---|---|---|---|
| Zeile 237: | Zeile 237: | ||
| Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell, hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics. | Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell, hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics. | ||
| + | |||
| + | Hier noch beispielhaft eine entsprechende Firewall-Regel: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # iptables -A INPUT -p UDP -i eth0 --sport 1024: --dport 53 -m limit --limit 200/s -j ACCEPT | ||
| + | </code> | ||
| Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen. | Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen. | ||
| Zeile 305: | Zeile 311: | ||
| Nach 4 Tagen war die Liste der Angreifer bereits über 2000 Einträge lang. | Nach 4 Tagen war die Liste der Angreifer bereits über 2000 Einträge lang. | ||
| + | Die Kombination aus oben gezeigter Firewall-Regel und dem hier vorgestellten Blackhole-Mechanismus lies die ausgehende tägliche Datenmenge des betroffenen Servers wieder auf Normalmaß schrumpfen. Trotzdem war dies nur ein Teilerfolg, da die Firewall-Regel auch reguläre Anfragen blockiert hat. | ||
| + | |||
| + | Die wirklich funktionierende Lösung des Problems brachte ein Patch für //**bind**// von Vernon Shryver und Paul Vixie, der ein per Client Rate-Limiting über die Konfiguration des Nameservers selbst erlaubt. Genau beschrieben wird die Funktionsweise des Patches auf der zugehörigen Internet-Seite: [[http://www.redbarn.org/dns/ratelimits]] | ||
| + | |||
| + | Im Gegensatz zum Firewall-Ansatz, wird hierbei jeder anfragende Client individuell betrachtet. D.h. Bleibt ein Client mit seinen Anfragen unter einer einstellbaren Anzahl pro Sekunde werden alle Anfragen beantwortet, überschreitet er sein Limit, antwortet //**bind**// einfach nicht mehr. | ||
| + | |||
| + | Entsprechend gepatchte //**bind**// Versionen stellen wir über unsere invis-Repositories im OpenBuildService zur Verfügung, auch noch für ältere openSUSE-Versionen (11.1, 11.2 und 11.3). | ||
| + | |||
| + | Die Konfiguration ist denkbar einfach. In der Options-Sektion der Datei "/etc/named.conf" genügt folgender Eintrag: | ||
| + | |||
| + | <code> | ||
| + | options { | ||
| + | ... | ||
| + | rate-limit { | ||
| + | responses-per-second 25; | ||
| + | window 5; | ||
| + | }; | ||
| + | ... | ||
| + | }; | ||
| + | </code> | ||
| + | |||
| + | Näheres zu den Parametern der "rate-limit" Direktive ist auf oben genannter Internet-Seite nachzulesen. | ||
| + | |||
| + | Die Kombination aus Blacklist und Rate-Limit ohne Firewall-Regel funktioniert hervorragend. | ||
| ===== Postfix, Amavis & Dovecot ===== | ===== Postfix, Amavis & Dovecot ===== | ||
| Zeile 310: | Zeile 340: | ||
| * Dovecot als SASL-Authentifizierungsbackend für Postfix zu nutzen. | * Dovecot als SASL-Authentifizierungsbackend für Postfix zu nutzen. | ||
| - | * Dovecots Deliver als MDA einzusetzen. | + | * Dovecots LMTP-Dienst zur Mail-Einlieferung zu verwenden |
| - | * IMAP-ACLs zu ermöglichen. | + | * IMAP-ACLs / Shared Folders zu ermöglichen. |
| + | * Sieve-Filter zu ermöglichen | ||
| * Amavis als content_filter zu nutzen. | * Amavis als content_filter zu nutzen. | ||
| + | |||
| + | Das Ganze gilt natürlich nur, wenn kein Zarafa eingesetzt wird. Zarafa integriert den Email-Speicher und Funktionen wie Zugriffsrechte und Filterregeln, kommt also ohne externen IMAP-Server aus. | ||
| Die genannten Anforderungen ergeben ein recht komplexes Setup, daher widme ich mich hier den Hintergründen. Zunächst allerdings nur dem Teil der Einlieferung neuer Mails via //**fetchmail**//. | Die genannten Anforderungen ergeben ein recht komplexes Setup, daher widme ich mich hier den Hintergründen. Zunächst allerdings nur dem Teil der Einlieferung neuer Mails via //**fetchmail**//. | ||
| Zeile 525: | Zeile 558: | ||
| Alle weiteren Dateien sind logisch unterteilt im Verzeichnis "/etc/dovecot/conf.d" zu finden. | Alle weiteren Dateien sind logisch unterteilt im Verzeichnis "/etc/dovecot/conf.d" zu finden. | ||
| + | ===== ISC DHCP LDAP Schema nach Samba 4 LDAP überführen ===== | ||
| + | Suchen und ersetzen der Attributnamen und Objektklassen: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # cat README.ldap | sed /dhcp[A-Z]/s/dhcp/iscDhcp/g > ad.README.ldap | ||
| + | </code> | ||