Ich habe mir vor ca. 2 Wochen auf dem Server hier, wo ebenfalls dieser Blog läuft, einen neues Sicherheitstool installiert. Ich denke das es noch nicht viele kennen und auch der ein oder andere eher sehr skeptisch darauf reagiert. Dieses Sicherheitstool nennt sich Artillery und ist zurzeit in der Version 0.6.1 verfügbar. Es wurde von David Kennedy entwickelt und wird auch noch weiterhin von ihm entwickelt und supported.

Artillery 0.6.1 ist eine Kombination aus einem Honeypot, einem Überwachungssystem und einem Alarmsystem. Fangen wir mit dem Honeypot an. Ihr könnt mittels diesem Honeypot eine beliebige Anzahl an Ports bewachen, welche bei einem Verbindungsversuch die IP desjenigen sperrt, der auf diesen Port verbinden möchte. Es ist eine Art Falle, da viele Leute vor einem Angriff nach offenen Ports scannen und somit sicherlich auch den ein oder anderen interessanten Port absuchen und somit sicherlich in den Honeypot laufen.

Die Ports sind frei wählbar und können nach Belieben geändert werden. Ihr solltet dabei natürlich darauf achten, dass ihr nicht eure lebenswichtigen Ports sperrt, sonst landet eure IP relativ schnell auf der „banlist.txt“ und ihr habt es schwer. Da kommt auch direkt schon das zweite Feature vom Honeypot ins Spiel, der Honeypot synchronisiert diese „banlist.txt“ mit anderen Servern. Natürlich könnt ihr das verhindern oder eine eigene „banlist.txt“ erstellen, welche ihr dann mit euren eigenen Servern nutzt.Wen das Artillery Netzwerk mal zu schwach ist wir euer Server ebenfalls dazu benutzt, um die „banlist.txt“ an andere Server zu verteilen. Diese Funktion lässt sich natürlich auch wieder abschalten. Aufgrund dieser „banlist.txt“ werden automatisiert mittels „iptables“ IPs, die als Angreifer erkannt wurden bzw. bereits bekannt sind auf eurem System blockiert.

Des Weiteren kann Artillery für euch bestimmte Verzeichnisse auf eurem Server überwachen und bei Veränderungen eine Mail an ein von euch bestimmten Empfänger senden. Auch hier gibt es die Möglichkeit, die Zahl der Mails, die euch gesendet werden, zu begrenzen. Es wäre schließlich unschön wenn sich jede Minute etwas absichtlich zum Beispiel durch einen Cronjob in einem der überwachten Verzeichnisse ändert und ihr jede Minute eine Mail bekommt.

Einen DDoS Schutz bietet das Tool außerdem auch direkt mit. Auch dort könnt ihr eure Ports wieder so legen, wie ihr es für nötig haltet. Dazu kommt, dass ihr euren SSH Port natürlich auch individuell absichern könnt. Natürlich auch gegen Brute-Force Angriffe, wobei ihr dort einen gewissen Spielraum habt, was die Fehlversuche angeht.

Ich kann euch nur empfehlen das Tool mal zu testen und euch eine eigene Meinung darüber zu bilden. Ich bin davon sehr begeistert und habe es nun schon auf mehreren Servern im Einsatz. Solltet ihr fragen haben oder Hilfe benötigen, dann schreibt mir einfach ein Kommentar.

euer d0wn