Seite 1 von 2 12 LetzteLetzte
Zeige Ergebnis 1 bis 15 von 25

Thema: Starface Mass Blacklisting/Whitelisting

  1. #1
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.212

    Standard Starface Mass Blacklisting/Whitelisting

    Hallo Miteinander

    Ich arbeite an einem Modul, welches das Black & Whitelisting vereinfachen soll.

    Das ursprüngliche Konzept war, nur das Blacklisting von Ländern mithilfe der Zonefiles von IPDeny nachdem ich testweise (mit Ausnahme von der Schweiz, Deutschland & Österreich) die ganze Welt auf die sperrliste gesetzt habe, bestätigte sich meine Vermutung, dass die Verarbeitung der Tables in dieser grösse (167'000 IP-Ranges) zu einer zu grossen Verzögerung führen, als dass die Anlage noch brauchbar wäre.

    Wir stellen deshalb das Modul auf ein Whitelisting System um, welches by Default alle Privaten Ranges (192.168.XXX, 10..., 172....) sowie die IP-Ranges der Schweiz, Deutschland & Österreich auf die Whitelist setzt, und weitere Länderwhitelisting ermöglicht, und by Default alles andere Droppt.

    Was haltet ihr davon?

    MfG

    Fabian
    Geändert von FabianZ (28.04.2017 um 12:59 Uhr)
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  2. #2
    Ex-STARFACE Crew STARFACE Expert
    Benutzerbild von Niklas
    Registriert seit
    08.12.2014
    Beiträge
    294

    Standard

    Hallo Fabian,

    die Idee finde ich super!

    Leider ist iptables ist dafür bekannt nach ein paar tausend Einträgen inperformant zu werden und sämtliche Netzwerkverbindungen dramatisch zu verlangsamen*.
    Das könnte dir sogar beim Whitelisten zum Verhängnis werden. Es existiert allerdings eine Lösung: IPset. Damit werden die IPs als Hashmap gespeichert und aufgelöst.

    Ich hatte in der Vergangenheit mal damit auf der STARFACE experimentiert und gute Ergebnisse mit der VoIPBL und SPAMHAUS DROP erzielt (RM-638 falls jemand von STARFACE hier mitliest). Leider wurde meine Arbeit nicht implementiert.

    Der große Nachteil daran ist halt das du ein Paket nachinstallieren musst und tief in die iptables eingreifen musst.
    Das kann dir bei einem Update oder einem Support Case zum Verhängnis werden.


    *: Die Laufzeit jeder Verbindung wächst Linear zu jeden iptables-Eintrag:
    ipset3.png
    Geändert von Niklas (28.04.2017 um 12:24 Uhr)
    Viele Grüße
    Niklas

    - Ex STARFACE Support: 2014-2020 -

  3. #3
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.212

    Standard

    Hallo Niklas

    Danke für den Hinweis, ich schaue mal wie gut sich das IPSet Implementieren lässt, sobald die Test Starface wieder läuft. Ich habe diese Testweise neu gestartet, und seit geschlagenen 20 Minuten ist sie zwar wieder Pingbar, aber das Webinterface ist noch nicht erreichbar.

    Wenn er das Webinterface sich erst Zeigt, nachdem die White/Blacklist vollständig geladen wurde, kann ich wohl noch ein Weilchen länger warten.

    MfG

    Fabian
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  4. #4
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.794

    Standard

    Hallo Fabian,

    der Ansatz ist sicher interessant - nur wie Niklas schon erwähnt und Du selbst festgestellt hast, eine schwierige Aufgabe für IPTABLES und dann schon gar direkt auf der Starface. Wir verfolgen einen ähnlichen Ansatz, allerdings eben extern über vorgeschaltete Firewalls, damit die Starface die Last nicht abbekommt.

    Der Weg über das erwähnte Whitelisting läge auf der Hand, allerdings gibt es auch eben schon solche Störungen aus den drei benannten Ländern. Das hilft also auch eher nur teilweise.

    Tatsächlich zeigt sich übrigens bei Untersuchungen, dass man nicht unbedingt die halbe Welt sperren müsste - es gibt immer wieder auftretende, "übliche Verdächtige" die immer und überall fast zeitgleich aufschlagen und im Grunde immer aus gleichen Netzen stammen. Unser Ansatz ist zumindest mit Modulen schlecht abbildbar, da extern angesetzt wird. Denkbar wäre aber vielleicht einen separaten Service zu kreieren, der in einer Datenbank die gewissen Netze und IPs von Störenfriede sammelt und dann diese via Modul in die Starface (oder wo auch immer) einliest. Zumindest wären das dann längst nicht so viele Einträge wie von Dir benannt und bliebe damit performanter.
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface | Aktuelle Updates unserer Module

  5. #5
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.212

    Standard

    Hallo Ulf

    Wir werden vermutlich vorerst eine Vereinfachte Version des Moduls bereitstellen, welche bei sämtlichen Blacklist Einträgen, die von der SF Hinzukommen die Ablaufzeit auf "Nie" ändert.

    Service zu kreieren, der in einer Datenbank die gewissen Netze und IPs von Störenfriede sammelt
    Wie z.b. der von Niklas oben genannte Service.

    allerdings eben extern über vorgeschaltete Firewalls, damit die Starface die Last nicht abbekommt.
    Das Modul ist vor allem für Cloud Anlagen gedacht.

    Tatsächlich zeigt sich übrigens bei Untersuchungen, dass man nicht unbedingt die halbe Welt sperren müsste - es gibt immer wieder auftretende, "übliche Verdächtige" die immer und überall fast zeitgleich aufschlagen und im Grunde immer aus gleichen Netzen stammen.
    Ja das Modul war auch experimentell gedacht. Wir wollen ja nicht das gleiche wie die Sipcall die alle ausser Schweizer IP-Adressen gesperrt hatte

    Wir gehen vermutlich eher in die Richtung, wenn es auf einer Cloud Anlage gesperrt wird ==> IP in eine BlacklistDB Eintragen ==> Andere Starface Anlagen beziehen diese Blacklist, IP wird auch bei anderen Anlagen gesperrt.

    Oder gleich noch eine Implementierung der DROP List

    MfG

    Fabian
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  6. #6
    STARFACE Admin

    Registriert seit
    04.03.2014
    Beiträge
    151

    Standard

    Zitat Zitat von Ulf Beitrag anzeigen
    Tatsächlich zeigt sich übrigens bei Untersuchungen, dass man nicht unbedingt die halbe Welt sperren müsste - es gibt immer wieder auftretende, "übliche Verdächtige" die immer und überall fast zeitgleich aufschlagen und im Grunde immer aus gleichen Netzen stammen.
    Etwas, was mir vorschwebt wäre folgendes:

    1. IP a.b.c.d versucht sich einzuloggen
    2. IP a.b.c.d. wird gesperrt
    3. Nachprüfen aus welchem Block diese IP kommt (whois?)
    4. Nachprüfen, ob weitere IPs aus diesem Block bereits gesperrt worden sind
    5. Falls bereits mehr als x IPs aus diesem Block gesperrt worden sind, den ganzen Block sperren

    Das Problem ist, wie man sauber an den Block kommt. Eine whois Abfrage liefert eben keine konsistente Antwort. Z.T. wird der Block ausgeben:
    Code:
    inetnum:        a.b.c.d - w.x.y.z
    z.T:
    Code:
    NetRange:       a.b.c.d - w.x.y.z
    z.T.
    Code:
    CIDR:           a.b.c.d/xx
    Der Block müsste in CIDR umkalkuliert werden oder gibt das auch Performanceinbussen bei iptables wenn ein Eintrag a.b.c.d/xx vorhanden ist?

  7. #7
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.794

    Standard

    ... leider hat der Versuch sowas zu automatisieren gewisse Ecken und Kanten.

    Es gibt immer die Möglichkeit, dass IP-Adressen aus z.B. dem eigenen IP-Adressbereich für Angriffe genutzt werden. Automatisiert man dabei den Vorgang und sperrt nach Auftreten einer bestimmten Anzahl von unerwünschten Zugriffen ein solches (komplettes) Netz, sperrt man eben auch schnell mal Netze, bei denen das eigentlich unerwünscht ist. Entsprechende Versuche haben trotz diverser Maßnahmen immer wieder zu einer gewissen Fehlerrate geführt ...

    Tatsächlich waren wir damit so verblieben, solche Angriffe manuell zu prüfen und einer menschlichen Entscheidung zu überlassen, welche klar erkennbaren "Störernetze" man komplett sperren kann und wo Vorsicht geboten ist. Dieses Verfahren macht natürlich richtig Arbeit, ist aber erfahrungsgemäß im Grunde der einzig handhabbare Weg, ohne unerwünschte Effekte zu erzielen.
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface | Aktuelle Updates unserer Module

  8. #8
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.212

    Standard

    Ich habe das Modul nun leicht Abgeändert.

    Es gibt immer noch die Möglichkeit ganze Länder zu sperren, ausserdem lädt es automatisch die Aktuellste DROP/EDROP vom Spamhaus



    Die Länder werden nach dem Laden der Zonefiles automatisch in die GUI Eingetragen, ebenso wird ein Overview aller durch Spamhaus DROP/EDROP geblockten IP-Subnets angezeigt.

    Es wurde auch eine Funktion einprogrammiert, alle vom Modul erstellten Blockeinträge wieder zu bereinigen. (Kein Mensch hat Bock Tausende von Einträge wieder von Hand zu löschen )

    Als nächstes Programmier ich die Funktion, mit der Bestehende Backupeinträge automatisch auf Endet:Nie umgestellt werden.

    Ausserdem muss ich einen weg Finden, die von mir Erzeugten Meldungen (Systemstatus ==> Meldungen) zum Blacklisting gleich wieder zu löschen, ich habe aktuell 1400 Seiten a 10 Meldungen mit Blacklist: XXX.XXX....

    MfG

    Fabian
    Geändert von FabianZ (02.05.2017 um 11:58 Uhr)
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  9. #9
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.794

    Standard

    Hallo Fabian,

    na - ich bin mal auf Deine Erfahrungen gespannt, wie sich das grundsätzlich verhält (auch gerade mit nicht speziell geprüften externen Spam-Listen). Was mich nur interessieren würde: geht es bei Spamhaus tatsächlich auch speziell um gezielte Angriffe im Zusammenhang mit VoIP? Meines Erachtens unterscheiden sich die Angriffsquellen eigentlich stark - wir hosten hier sowohl Telefonanlagen wie auch "normale" Webserver - die verwendeten IPs / Netze der Angreifer unterscheiden sich durchaus je nach Angriffsziel ...
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface | Aktuelle Updates unserer Module

  10. #10
    Ex-STARFACE Crew STARFACE Expert
    Benutzerbild von Niklas
    Registriert seit
    08.12.2014
    Beiträge
    294

    Standard

    Zitat Zitat von nucom Beitrag anzeigen
    Ausserdem muss ich einen weg Finden, die von mir Erzeugten Meldungen (Systemstatus ==> Meldungen) zum Blacklisting gleich wieder zu löschen, ich habe aktuell 1400 Seiten a 10 Meldungen mit Blacklist: XXX.XXX....
    Code:
    DELETE FROM report; 
    DELETE FROM reporttracking;
    Ha. Mir war doch so als hätte ich schon ein Modul geschrieben:
    http://support.starface.de/forum/sho...hlight=archive
    Geändert von Niklas (02.05.2017 um 13:54 Uhr)
    Viele Grüße
    Niklas

    - Ex STARFACE Support: 2014-2020 -

  11. #11
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.212

    Standard

    Hallo Niklas

    Danke dafür

    Ich habs davor bereits kurzer Hand mit deinem Modul bereinigt.

    Mir ist einfach aufgefallen, dass danach bei den Systemmeldungen immer noch Seite 1 / 1400 gestanden ist, und ich konnte immer noch hin und her Blättern.
    Ich habe dann noch kurzerhand den Browserverlauf gelöscht, dann stand dort wieder Seite 1 / 1

    MfG

    Fabian
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  12. #12
    woestmar
    Gast

    Standard

    Mal eine Frage am Rande. Man kennt es von Adblockern, Spamlisten, etc. das es "globale" Listen gibt gerade für z.B. Blacklisting. Gibt es sowas eigentlich auch für die Starface oder wäre es sinnvoll über sowas nachzudenken? Hintergrund. Die meisten unserer geblacklisteten IPs finden sich (sicher) auch bei anderen Firmen / Kollegen / Foreneinträgen in der Blacklist. Daher würde vielleicht eine Starface-Globale-Blacklist vielleicht sinnig erscheinen, oder?

  13. #13
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.212

    Standard

    Hallo woestmar

    Ich Arbeite derzeit Experimentell an der Öffentlichen Liste, mit der Sich die SF einmal Täglich Verbindet, und Updates lädt, sowie eigene dazugekommene Blacklisteinträge publiziert.

    Zusätzl. wird es 2 Listen geben,
    1 Suspected List (1-5 Meldungen über eine IP-Adresse)
    1 Blacklist (Mehr als 5 Meldungen über eine IP-Adresse)

    Das ganze Thema Autom. Blacklisting ist aber eben wie schon Ulf erklärt ein heikles Thema, da es auch zu Fehlgriffen kommen kann.

    Wenn nun z.b. ein Partner beim Anbinden des Telefons einen Fehler macht, und deshalb auf die Liste fällt, würde das später dazu führen, dass er Z.b. bei Firmen welche die Blacklist & Suspected List haben, nicht mehr Anrufen können.

    Weil im Moment Blockt meine Blacklist sämtlichen Zugriff, sonst müsste ich es noch auf Port-Based/Scope-Based Blacklisting umstellen, dass jemand der sich zu oft falsch via SSH Angemeldet hat, global via SSH gesperrt wird, und jemand bei dem die Sip-Registrierung zu oft fehlgeschlagen ist, entsprechend von der Registrierung ausgeschlossen wird.

    MfG

    Fabian
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  14. #14
    STARFACE Admin

    Registriert seit
    04.03.2014
    Beiträge
    151

    Standard

    Man könnte eine gemeinsame RBL aufziehen.... ich habe damit keine Erfahrungen, benutze RBLs eigentlich nur im Zusammenhang mit Email.

    Dasselbe System müsste doch auch für SF gehen.

  15. #15
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.794

    Standard

    Ja - das war etwas, was mir auch vorschweben würde.

    Momentan machen wir das intern / zentral für zahlreiche TK-Anlagen, die bei uns im Rechenzentrum hängen - dort aber eben definitiv über eine separate Firewall, um die Starface nicht in die Knie zu zwingen. Bei allen lokalen Lösungen handhaben wir das identisch.
    Die Auswertung der IPs im RZ erfolgt dabei auch zusätzlich noch etwas anders, als das in der Starface ersichtlich ist - gezielte Angriffe zeigen sich zusätzlich durchaus etwas spezieller und können halbwegs von falschen Anmeldeversuchen unterschieden werden. Nur eben automatisiert geht das (bei der Ermittlung) schlecht und wäre mit nkalkulierbaren Ergebnissen verbunden.

    Den Versuch in der Starface Lösungen zu finden, hatten wir wegen der verwendeten IPTABLES und der zu großen Last bei komplexen Filterlisten verworfen. Im Nachhinein erschien es uns jedenfalls nachvollziehbar, warum die gesperrten Einträge in der Starface eher schnell wieder freigegeben werden.

    Eines ist aber glasklar:

    Angriffsversuche kommen quasi durchweg und fast zeitgleich immer von den gleichen IPs und gleichen Netzen. Natürlich kommen immer neue IPs dazu - aber wichtig erscheint mir, dass die Quellen übertragbar sind und man tatsächlich eine gemeinsame Basis entwickeln könnte.

    Ein Ansatz, vielleicht auch die Last zu reduzieren, wäre das Entsperren von selten oder plötzlich nicht mehr auffälligen Netzen nach einer etwas längeren Zeit als eben die aktuelle Vorgabe in der Starface.
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface | Aktuelle Updates unserer Module

Ähnliche Themen

  1. Blacklisting
    Von Nili1968 im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 22.10.2012, 08:58

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •