[Problem] Bösartige Verbindungsversuche loggen

[borgx]

Hallo!

Bei mir läuft eine 7270V2 mit dem aktuellen Freetz-Trunk. Die macht das meiste, was eine 7270 so kann (DECT, Internet über DSL ohne feste IP, Lan, Wlan, USB-Speicher, Drucker). Ich habe eine Verbindungsmöglichkeit von außen, wobei ein HTTPS-Zugriff über lighttpd auf einen VDR weitergeleitet wird. Es sollen noch weitere Server dazukommen.

Alles funktioniert ziemlich problemlos, ich mache mir aber Gedanken über die Sicherheit. Ich habe schonmal an einem anderen System mit dem gleichen Anschluss gesehen, wie viele scannende Verbindungsversuche reinkommen (merkliche CPU-Last bei rrdstats). Diese Versuche waren anscheinend noch recht einfach (z.B. nur sehr typische Usernamen). Ich hätte nun gerne einen Überblick, wie das aktuell aussieht. Ich kann iptables konfigurieren, diese Anfragen abzuweisen, würde aber gerne loggen, welche Verbindungsversuche vorkommen.

Soweit ich es verstehe, muss Kernel-Logging abgeschaltet sein, wenn DECT verwendet wird und damit geht ipt_LOG nicht. Stimmt das noch so? Gibt es eine andere Log-Möglichkeit? Wie macht ihr das oder habt ihr das Problem nicht?

Beste Grüße

 

[hermann72pb]

Ports verlegen, andere Linuxsysteme verwenden, die anhand Log-Auswertung eine Portsperre anlegen.
Bei einer Box ist es zwar auch theoretisch möglich, aber ein bisschen übertrieben. Z.B. im Falle von SSH musst du OpenSSH nehmen, weil dropbear es mit dem sperren der Ports per see nicht unterstützt. Ferner musst du iptables verwenden. Also, overhead ist schon ziemlich hoch, wenn man es vernünftig macht.

MfG

 

[sf3978]

Gibt es eine andere Log-Möglichkeit?

Versuch mal mit iplog. Siehe Link: http://svn.freetz.org/branches/sf3978_packages/make/iplog/

 

[borgx]

Danke für den Hinweis. Leider bekomme ich iplog nicht recht installiert: ich have Config.In und external.in eingebunden und es von freetz wird ordentlich in /etc/static.pkg eingetragen. Blöderweise startet die ganze Box damit nicht mehr. Wenn ich das Binary zu Fuß kopiere, scheint es, dass der lib-Pfad nicht richtig auf /usr/lib/freetz gesetzt wird:

root@fritz:/var/media/ftp/flashdisk/external# ldd ./iplog
libpthread.so.0 => /lib/libpthread.so.0 (0x2aabe000)
libpcap.so.1.1 => not found
libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x2aae2000)
libc.so.0 => /lib/libc.so.0 (0x2ab00000)
ld-uClibc.so.0 => /lib/ld-uClibc.so.0 (0x2aaa8000)
root@fritz:/var/media/ftp/flashdisk/external# ls /usr/lib/freetz/libpcap.so*
/usr/lib/freetz/libpcap.so /usr/lib/freetz/libpcap.so.1.1 /usr/lib/freetz/libpcap.so.1.1.1
root@fritz:/var/media/ftp/flashdisk/external#

Wenn ich LD_LIBRARY_PATH entsprechend setze, kann ich iplog starten. Aber wie würde die Einbindung in freetz richtig gehen?

 

[sf3978]

... und es von freetz wird ordentlich in /etc/static.pkg eingetragen.

Der Eintrag in "/etc/static.pkg" wird nicht benötigt.

EDIT:

Schau mal in deinem Build-System (... evtl. auch auf deiner Box, wenn readelf vorhanden) mit readelf, nach dem RPATH-Eintrag. Z. B.:

readelf -d ./iplog | grep RPATH

Z. B.:

root@fritz:/var/mod/root# readelf -d /usr/bin/iplog | grep RPATH
 0x0000000f (RPATH)                      Library rpath: [/usr/lib/freetz]