Hallo,

die Sommerferien sind vorbei. Alle kehren zum Arbeitsalltag zurück. Alle? Nicht ganz: GONICUS hat das erste September Wochenende nochmal für eine kleine Abwechslung genutzt und mit dem Team den Weg aufs Wasser gefunden. Es war das

GOsail2017 Wochenende. Mehr dazu weiter unten. Es gibt aber auch wie immer eine Reihe von interessanten News in der Open-Source-Welt, die wir in unserem Newsletter für den September zusammengetragen haben.

Viel Spaß mit den GONews!

Alfred Schröder
Geschäftsführer


 

Inhalt

* GONICUS unterstützt HomebaseSauerland

* Von Katzen, Kühen und Vogelschwärmen

* GOsail 2017

* Tipp des Monats

 


**********

* GONICUS unterstützt HomebaseSauerland

Besser spät als nie! Das Sauerland, unendliche Weiten ... und Berge und Täler. Hier 'qualmen nicht nur die Misthaufen' (danke an Zoff für Ihr cooles Lied ), sondern es ist auch Standort für Wirtschaft und Innovation. Leider ist das vielen gar nicht mal sooo bekannt. Die HomebaseSauerland hat sich das Ziel gesetzt, das zu ändern und gerade auch junge Leute darauf aufmerksam zu machen, welches Potential sich hier bietet - neben einer tollen Lebensqualität eben auch zahlreiche hochqualifizierte und interessante Jobs, Aufgaben und Projekte. GONICUS unterstützt diese Initiative ab sofort auch offiziell als Mitglied der Homebase.

HomebaseSauerland
 

**********

* Von Katzen, Kühen und Vogelschwärmen

Die IT-Abteilungen vollziehen einen stetigen Wandel. Unter dem Aspekt der digitalen Transformation wandeln sich diesmal die IT-Abteilungen und das eigentliche Business gleich mit. Während bislang die meisten Abteilungen mit Planungsansätzen zur Standardisierung und Kostensenkung geführt worden sind, realisieren viele Unternehmen im Zuge des aktuellen Wandels, dass dieser Ansatz kaum fruchtbar war und Innovationen sowie kürzere Time-to-market Zeiten eher verhindert als ermöglicht wurden.

Lesen Sie den vollständigen Artikel hier: Von Katzen Kühen Vogelschwärmen


**********

* GOsail 2017

Auch dieses Jahr ging es wieder an Bord eines Segelschiffes, und das Ijsselmeer und die Stadt Voldendam wurden unsicher gemacht. ;)

Impressionen dazu finden sich hier: GOsail2017


**********

* Tipp des Monats

Eine beliebte Firewall im OpenSource Umfeld ist die auf FreeBSD basierende pfSense. Seitens Linux benutzt man typischerweise iptables, und das Werkzeug uif hilft die komplexe Syntax einfacher zu meistern.
Einzelplätze und Server werden gerne mit fail2ban ergänzt. Damit werden z.B. die Quell-IPs bei fehlgeschlagenen Logins für eine gewisse Zeitspanne in der Firewall blockiert.

Wie kann man aber nun eine Art fail2ban auf einer pfSense nachrüsten (welche als Bridge eine DMZ schützt), um auf Portscans zu reagieren?


Unser Tipp zeigt einen Weg:

1.)
Man wählt einen Host in der DMZ mit einer möglichst kleinen IP, weil Portscanner meist bei diesen beginnen und pro Netz nach oben zählen.

2.)
Man stellt sicher, dass ungenutzte aber markante Ports auf dem Server erreicht werden können - es muss natürlich kein Dienst auf den Ports laufen. Wir lassen nur unser uif auf Portscans reagieren.

3.)
Man erstellt eine Regel in der uif.conf und lädt uif neu:

# BOTNETTRACKER
#in- p=telnet,smb,smtp f=log(BOTNET),reject

Damit erscheinen Portscans sowie Spammer im Syslog und werden dort weiter verarbeitet.

4.)
Anschließend wird ein cronjob erstellt, welcher die letzten 10 Minuten des Logs auf Einträge prüft. Die Quell-IPs der erfassten Bots sammeln wir in einer Datei, die per Webserver an die pfSense ausgeliefert wird:

sed -n "/ˆ$(date --date='10 minutes ago' '+%b %_d %H:%M')/,\$p"
/var/log/syslog | grep BOTNET | awk '{print $13}' |sed 's/ˆSRC=//' |
sort -u > /var/www/bots.txt

5.)
In der pfSense erstellen wir einen Alias vom Typ "Url Table". Die Quelle ist die HTTP URL, von der wir die bots.txt lesen können.

6.)
In der pfSense erstellen wir eine Firewallregel. Am besten eine auf dem WAN Interface, welche die gesamte DMZ vor weiteren Zugriffen der Quell-IPs schützt.


pfSense wird zyklisch die Datei abgleichen. Längere Zeitspannen sind individuell einstellbar, ebenso wie die Häufigkeit des Cronjobs. Server in der DMZ werden nicht mit weiter gehenden Scans behelligt. Noch eleganter und vor allem schneller ist dies auf Firewalls von MikroTik umsetzbar.
Das optimierte Linux auf diesen Geräten bietet umfangreiche Optionen und kann bereits nach dem ersten Datenpaket alle weitere Kommunikation von und mit den Bots für eine gewünschte Zeit aufhalten.