Zarafa mit fail2ban absichern

[Banesh]

Ich versuche gerade WebApp und Z-Push mit Hilfe von fail2ban abzusichern.
Folgende Punkte habe ich bereits durchgeführt:

• Ich habe mir bereits Phyton 2.7 über das Paketzentrum installiert.
• Ich habe mir fail2ban 0.8.11 heruntergeladen und auf meiner DS installiert.
• In der Z-Push Konfiguration habe ich die log Option für fail2ban aktiviert.
• Desweiteren habe ich in der DS Firewall noch eine Regel mit "allow all" erstellt, damit iptables richtig funktioniert.

Nun versuche ich gerade die Log-Datei von Z-Push überwachen zu lassen. Dafür habe ich folgenden Filter kreiert:

[Definition]

failregex = .* IP: <HOST> failed to authenticate user .*

ignoreregex =

Meine jail.conf sieht so aus:

[DEFAULT]
action = iptables[name=%(__name__)s, port=%(port)s]
bantime  = 86400
findtime  = 300
maxretry = 3
backend = auto
usedns = warn


[z-push]
enabled   = true
port      = https
filter    = z-push
logpath   = /volume1/web/z-push/logs/z-push.log

Jetzt finde ich in der Fail2ban Log-Datei diesen Eintrag:

fail2ban.actions.action: ERROR  iptables -I fail2ban-z-push 1 -s XXX.XXX.XXX.XX -j REJECT --reject-with icmp-port-unreachable returned 200

Die IP-Adresse habe ich unkenntlich gemacht. Es scheint also ein Problem mit iptables zu geben.

Hat vielleicht schon irgendjemand fail2ban im Zusammenspiel mit Zarafa zum laufen gebracht? Bzw.kann mir irgendjemand auf die Sprünge helfen wo der Fehler zu suchen ist?

 

[jahlives]

Woher kommt die 1?
Nimm mal die 1 nach fail2ban-z-push raus und drück das Kommando direkt auf der Kommandozeile ab (ohne das Gedöns vornedran und ohne returned 200)
Zudem würde ich dringend vor einem REJECT abraten und einen DROP verwenden. Sonst sendest du immer ein icmp Paket an die Absender IP und die kann gefälscht sein. Das könnte man sonst nutzen um einen unbeteiligten Dritten mit Paketen einzudecken.
Probier zudem auchmal [zpush] anstelle von [z-push]. fail2ban braucht das - selber k.A. vielleicht kann das Ärger geben

 

[Banesh]

Hallo jahlives,

vielen Dank das Du dir die Sache mal anschaust.

Bei dem Befehl

 iptables -I fail2ban-zpush -s 84.46.XX.XX -j REJECT

kommt folgende Meldung:

iptables v1.4.2: Couldn't load target `REJECT':/lib/iptables/libipt_REJECT.so: cannot open shared object file: No such file or directory

Ich habe es auch nochmal überprüft, die Bibliothek existiert so auch nicht in dem Pfad /lib/iptables.

Kann es sein das fail2ban 0.8.11 eine andere Version von iptables erwartet?

 

[Banesh]

Im übrigen scheint die 1 schon seinen Sinn zu haben. Auszug aus dem -help Aufruf:

  --insert  -I chain [rulenum]
                                Insert in chain as rulenum (default 1=first)

 

[jahlives]

ne eben sie macht keinen Sinn, weil es ja der default Wert ist ;-)
Scheinbar hat iptables auf der DS kein REJECT

iptables -I fail2ban-zpush -s 84.46.XX.XX -j DROP

wie gesagt REJECT mach auch nicht viel Sinn

 

[Banesh]

Anscheinend besitzt die Version von iptables die von Synology von Haus aus genutzt wird keine extra Module, wie z.b. Reject.
Kann man auch hier lesen: http://www.synology-wiki.de/index.php/Iptables.

Ich habe mir jetzt nach dem Hinweis im Wiki die IPKG Version von iptables installiert.
Allerdings läuft ja noch die native Version, und ich frage mich wie das zusammen funktionieren soll. Ich kann ja nicht einfach die native Version löschen.

 

[jahlives]

wieso willst du unbedingt den reject haben? Bist du dir der möglichen Risiken bewusst? Man kann dich dann für (D)DOS Attacken missbrauchen.

 

[Banesh]

Ich brauch nicht unbedingt REJECT.
Versteh mich nicht falsch. Dein Einwand ist mit Sicherheit ein Guter und wohl auch berechtigt. Aber bevor ich mir Gedanken machen kann wie ich fail2ban dazu bringe anstatt ein REJECT ein DROP zu benutzen, möchte ich erstmal meine Bemühungen darauf konzentrieren, dass das überhaupt auf meiner DS läuft.
Wenn es dann läuft werde ich deinen Hinweis bestimmt weiter verfolgen.

 

[jahlives]

Im fail2ban Verzeichnis gibt es ein Verzeichnis action.d dort drin sind die Konfigs für deine gewählten Actions. Du hast ja iptables[....] verwendet, also öffne das File iptables.conf und geh zur Zeile wo actionban definiert wird und ersetz einfach <blocktype> mit DROP. Et voilà sollte es auch mit iptables der Firmware gehen

 

[Banesh]

Hallo jahlives,

ich bin erst jetzt zum ausprobieren gekommen, da ich im Urlaub war.
Dein Tipp funktioniert!

Vielen Dank

 

[Banesh]

Eine Frage habe ich noch:
wenn ich fail2ban stoppe mit

fail2ban-client stop

bekomme ich wieder die gleiche Fehlermeldung wie vom Anfang in der Log-Datei, nur das diesmal die "unban" Action betroffen ist.
Muss ich hier den <blocktype> unter der actionunban mit einem ACCEPT ersetzen, oder gibt es da einen anderen Befehl für?

 

[jahlives]

beim Löschen musst du genau dieselbe Regel löschen. Also sollte der <blocktype> beim löschen derselbe sein wie beim Setzen.
Wenn du genau schaust ist es nicht dieselbe Fehlermeldung. Jetzt sollte -D statt -I stehen ;-)

 

[P4ddy]

Hallo Banesh,

dein Vorhaben klingt interessant.
Könntest du genauer eklären wie du fail2ban installiert hast, wie deine Firewallregel aussieht und welche Option du in der Zarafa-Konfig genau eingestellt hast?

Das wäre super und dann würd ich mal sehen ob ich das uach bei mir ans laufen bekomme.

Gruß
Patrick

 

[perelin]

@jahlives: Perfekt, danke! Nach einem Tag Suche war das auch für mich die Lösung. (REJECT => DROP)