angriffe auf webserver abwehren?!

[MacMonnem]

hallo
der webserver hat über WE 170 gb traffic produziert, worauf ich eine unangenehme email vom rechenzentrum bekam.

auch gegenwärtig gibt es immer.

meine frage ist nun, welche schutzmöglichkeiten ich im webserver einstellen kann.
eine idee die ich habe, ist, die seite nur für ip nummern die aus der uni kommen, freizuschalten, und ansonsten die anfragen ins nirvana zu schicken. ich hab allerdings keinen plan, wie ich das einrichte.

was gibt es noch für möglichkeiten?

vielen dank

macmonnem

 

[falkgottschalk]

Schau mal hier:
http://www.webdesign-in.de/mts/website-vor-unliebsamen-besuchern-schuetzen-mittels-htaccess/

Einen 100%igen Schutz gibt es aber nicht wirklich. Firewalls (also echtes Blech, eine Blue Coat z.B.), sicheres Netz, Honeypot usw.
Das ist ein sehr komplexes Thema.

 

[MacMonnem]

hm ja. je mehr ich micht einlese. je komplizierter wird das alles. nix "von haus aus security" oder "so einfach zu konfigurieren.

 

[oneOeight]

http://httpd.apache.org/docs/2.0/mod/mod_access.html

aber bist du sicher, dass die 170GB vom webserver kamen?
da muss ja einer jede menge daten abgelegt haben oder sonst was...

 

[MacMonnem]

das rechenzentrum hat mich darauf aufmerksam gemacht, dass es 170 gb sind. ich hab mir die logs angeschaut und kam zu einem ähnlichen ergebnis.

starte ich den webserver habe ich inkurzer zeit 30 anfragen pro sekunde von dubiosen pornservern etc. gucke ich in den netzwerktraffic bin ich schnell bei 4 mb pro sekunde rein und raus. die cpu last schaukelt sich mit der zeit auf 50 % hoch. das ist krass.

schalte ich den webserver aus ist schlagartig ruhe im puff.

 

[oneOeight]

wurden da irgendwelche inhalte bei dir abgelegt oder warum kommen da die anfragen von?
von alleine passiert so was ja nicht.

guck die halt die deny und allow direktive aus dem link an.
da kannst ja die uni IPs erlauben und den rest auf deny.

vielleicht solltest du auch den kompletten IP verkehr ausserhalb der uni mit ipfw unterbinden?

 

[MacMonnem]

hallo oneOeight,
wenn ich das richtig geblickt habe, geht ips erlauben/ verbieten nur über die .htaccess, die zudem bei snow leopard server noch aktiviert und dann konfiguriert werden muss. oder?

was ist "ipfw"?

es wäre völlig ausreichend, wenn man nur mit einer ip nummer der uni den server findet. aber ich hab keine ahnung ob das reicht. irgend einen traffic gibts ja trotzdem wenn externe den server ansprechen

 

[oneOeight]

IPs verbieten/erlauben geht auch über die httpd.conf ...
ipfw ist eine firewall...
eigentlich müsste server doch auch eine GUI für die firewall haben?

 

[MacMonnem]

ja hat er, ich hab sie aber noch nicht konfiguriert.
wenn die angriffe übern 80er port laufen nützt mir die firewall allerdings nur bezüglich anderen angriffen an ports, die unnötig offen sind.
es ist ein macmini mit sl server 10.6.4 hinter einem airport extreme.

wie verändere ich die httpd.conf? über commandozeile? oder gui?

 

[oneOeight]

server hat doch eine GUI für die meistens conf sachen.
ansonsten halt per terminal.

 

[MacMonnem]

dann bin ich wohl zu blöd aus der gui die einstellungen zu finden, für ip zugriff einzuschränken :-S

 

[promille]

In der man ipfw gibt es am Ende einige Beispiele. Um nur den Uni-Bereich zu erlauben, würde ich das mit

ipfw add allow ip from UNI.ADRESS.BREICH/MASKE to me
ipfw deny ip from any to me

versuchen. Bei dem Spielen mit der Firewall sollte man aber entweder genau wissen was man tut oder physikalischen Zugriff haben, weil man sich u.U. auch selbst aussperren kann.
(Es gibt aber auch die Möglichkeit die Regeln nach einer bestimmten Zeit automatisch zu resetten, siehe man page)
Wenn Du's unbedingt über die GUI machen willst, kann ich mal gucken, ob ich da eine Einstellung finde.

PS: Das muss aber eine außergewöhnliche Uni sein, wenn die ihren Studenten eigene Webserver bietet.

 

[MacMonnem]

erst mal danke.

hm oben bei einem der links steht man sollte bei ip range einschränkungen man sollte erst "deny all" und dann erst "allow ...." machen. oder versteh ich das falsch?

der adressbereich ist kein eigenes subnetz, sondern ein kompletter bereich wie 123.456.x.x.

ich bin kein student, ich bin angestellter und hab den it bettel am bein. das rechenzentrum bietet zwar auch verschiedene dienste an, aber so der hit ist das leider nicht, und so zuverlässig auch nicht. aber dafür bietet das rechenzentrum die erlaubnis, eigene server zu betreiben, sie rühmen sich auch, eines der wenigen rechenzentren in deutschland zu sein, die das erlauben, zu recht! ich bin da auch ganz happy mit. gibt ja andere unis die irgendwie alles mögliche blocken.

die firewall kann ich die tage direkt am server konfigurieren, da kann ich mich nciht ausschließen oder sowas :-D. soweit ich das sehe läuft die firewall und es sind viele ports zu.

wegen der gui, ich meine das das nicht möglich ist. den code würd ich einfach ins terminal hauen?

 

[ljannasch]

Ich verstehe das Problem noch nicht wirklich.
Der Server hostet eine Site, die nur innerhalb der Uni zugänglich sein sollte?
Und es wird keine andere Site für den Zugriff von außen auf diesem Server gehostet?
Warum dann nicht einfach über die Firewall von Mac OS X den Port 80 nur für den Zugriff von innen erlauben. Der Rest bleibt draussen.

 

[MacMonnem]

zum aufbau: der server hat eine feste ip, dahinter liegt ein eigenes intranet. die uni hat selbst einen ganzen schwung adressen wie 123.456.x.x. innerhalb dieser adressen sollte der webserver erreichbar sein, allerdings nicht aus der ganzen welt.
grund habe ich oben geschildert, weil unzählige dubiose server versuchen auf den server zuzugreifen.

 

[JoeSixpack]

ein eigener Server administrieren, aber nicht viel Plan davon? Ich halte das für etwas fahrlässig, da müsste ein Profi ran. Nicht persönlich gemeint, aber mit solchen Sachen sollte man ohne fundierte Sachkenntnissen nicht rumspielen.

Just my 2 cents.

 

[janpi3]

Ich möchte dir hier nicht zu nahe treten, aber das solltest du lieber jemanden machen lassen der davon Ahnung hat.
Das Internet ist kein rechtsfreier Raum. Wenn du da ständig solche Angriffe hast wird das einen Grund haben. Vielleicht will dich jemand in sein Botnetzwerk einbinden?
Ich möchte nicht der Betreiber eines willenlosen Zombiwebservers sein, der vielleicht 100'000 Mails/Stunde versendet.

 

[ljannasch]

Na also:
- Firewall von Mac OS X aktivieren
- Adressgruppe für Uni-Netzwerk anlegen
- Port 80 für "Beliebige" schließen
- Port 80 für Uni Adressgruppe öffnen.

Geht natürlich nur, wenn der Port 80 auf diesem Server nicht noch für andere Webs, die auf diesem Server laufen von außen erreichbar sein muss.

Wenn Du nur eine Site dort hostest, dann geht es über die Firewall am leichtesten.

 

[MacMonnem]

zum thema fahrlässig: es ist das erste mal seit 3 jahren, dass diese probleme auftreten. vorher war da ziemlich ruhe im puff. erst seit letzten freitag geht hier der punk ab. mit webserver abschalten ist vorerst die sache erst mal vom tisch. ich versuche mich selbst an einer lösung. und wenn nicht kann ich auf leute vom rechenzentrum zurückgreifen.

 

[promille]

erst mal danke.

hm oben bei einem der links steht man sollte bei ip range einschränkungen man sollte erst "deny all" und dann erst "allow ...." machen. oder versteh ich das falsch?

Die ipfw arbeitet die Regeln in aufsteigender Reihenfolge ab und nimmt den ersten Treffer. D.h. wenn "deny all" zuerst kommt, werden alle Pakete gemacht (von "machting", nicht "machen") und bis zur "allow"-Regel wird gar nicht abgearbeitet.
Du kannst dir mit "sudo ipfw list" die aktuellen Regeln anzeigen. (Auf der website von maceins net-chaos.de gibt es eine nette Einführung)

der adressbereich ist kein eigenes subnetz, sondern ein kompletter bereich wie 123.456.x.x.

dann sollte die Source angabe für die allow-Regel "123.456.0.0/16" sein.