Brute‑Force‑Angriffe mit Brutelock verhindern

Was ist Brutelock

Brutelock ist ein Open‑Source‑Programm, das System‑Logs aktiv überwacht und sofort schädliche IP‑Adressen sperrt, die versuchen, Ihren Server anzugreifen. Es schützt nicht nur SSH, sondern auch gängige Dienste wie FTP, POP und IMAP. Die Regeln sind erweiterbar: Sie können beliebig viele Dienste überwachen, indem Sie die Logdatei und ein einfaches Regex‑Suchmuster angeben.

Kurzdefinition: Brute‑Force‑Angriff — automatisierte Versuche, Zugangsdaten durch viele Login‑Versuche zu erraten.

Voraussetzungen

• Root‑Zugriff oder äquivalente Berechtigungen auf dem Server.
• Ein Unix‑ähnliches System mit Standardwerkzeugen (tar, make, gcc).
• Optional: ein Abo‑Schlüssel für Updates und erweiterte Dienste.

Installationsschritte

1. Brutelock‑Agent herunterladen und in /usr/local/ speichern.

2. cd /usr/local/

3. tar -xjvf brutelock-version_number.tar.bz2

4. cd /usr/local/brutelock-version_number

5. ./configure

6. make

7. make install

8. Bearbeiten Sie die neue Konfigurationsdatei (/usr/local/brutelock/conf/brutelock.conf) und tragen Sie Ihren Subscription‑Key ein.
9. Passen Sie bei Bedarf den Pfad zu Ihren SSH‑Logs in der Konfigurationsdatei an. Wenn Sie unsicher sind, wo sich die Logs auf Ihrem System befinden, lesen Sie die README im Brutelock‑Quellcode. Aktivieren Sie außerdem durch Entfernen des Kommentars andere Dienste (ftp, pop, imap) nach Bedarf.
10. Tragen Sie alle IPs, die niemals gesperrt werden sollen, in die Datei /usr/local/brutelock/conf/whitelist ein (jede IP in einer eigenen Zeile), z. B. 127.0.0.1 und die Server‑IP.
11. Legen Sie eine eigene Chain in iptables an und leiten Sie INPUT dorthin:

/sbin/iptables -N Brutelock-Firewall-INPUT

/sbin/iptables -I INPUT -j Brutelock-Firewall-INPUT

12. Starten Sie den Brutelock‑Daemon:

/usr/local/brutelock/bin/brutelockd

13. Beobachten Sie die Logs: Die Anzahl fehlgeschlagener Anmeldeversuche sollte deutlich sinken.

Wichtige Hinweise

• Wenn Sie keinen Subscription‑Key haben, melden Sie sich an, um einen zu erhalten. Es gibt eine kostenlose Option, die aktive Sperren ermöglicht. Kostenpflichtige Abonnements liefern zusätzliche, kontinuierliche Updates.
• Neben 127.0.0.1 sollten Sie mindestens die feste IP-Adresse Ihres Servers in die Whitelist eintragen, damit interne Verbindungen nicht blockiert werden.
• Testen Sie Änderungen an iptables immer über eine temporäre SSH‑Sitzung, bevor Sie die Sitzung schließen, um sich nicht selbst auszusperren.

Überprüfen und Monitoring

• Prüfen Sie die Brutelock‑Logs (Pfad in der Config) auf ausgelöste Sperren und Gründe.
• Kontrollieren Sie iptables‑Regeln mit:

/sbin/iptables -L Brutelock-Firewall-INPUT -n --line-numbers

• Richten Sie ein einfaches Monitoring ein (z. B. Logwatch oder eine Prometheus‑Exporterin), um ungewöhnlich viele Sperren oder Fehlalarme zu erkennen.

Fehlerbehebung und Rollback

• Kein Netzwerkzugriff nach Konfigurationsänderung: Entfernen Sie temporär die iptables‑Regeln über eine andere Konsole oder starten Sie Netzwerkskripte neu.
• Brutelock‑Daemon startet nicht: Prüfen Sie Rechte, Abhängigkeiten und die System‑Logdateien (/var/log/syslog, /var/log/messages).
• Falsche Sperren von legitimen IPs: Sofort IP aus /usr/local/brutelock/conf/whitelist entfernen, Brutelock neu laden oder stoppen.

Rollback‑Kurzverfahren:

1. SSH‑Zugang über Konsole sichern.
2. Stoppen: /usr/local/brutelock/bin/brutelockd stop (falls Stop‑Option verfügbar).
3. iptables Regeln entfernen:

/sbin/iptables -D INPUT -j Brutelock-Firewall-INPUT

/sbin/iptables -F Brutelock-Firewall-INPUT

/sbin/iptables -X Brutelock-Firewall-INPUT

4. Überprüfen Sie Services und Logs.

Wann Brutelock nicht ausreicht

• Zielgerichtete Angreifer mit großen Botnets, die verteilte IP‑Adressen nutzen, können Sperrlisten umgehen. Brutelock reduziert Lärm und einfache Angriffe, ist aber kein Ersatz für mehrschichtige Sicherheit.
• Wenn Angriffe auf Anwendungsebene (z. B. Schwachstellen in Webapplikationen) stattfinden, hilft Brutelock nur begrenzt.

Alternative Ansätze

• Fail2ban: Ähnlicher Ansatz mit großer Community‑Unterstützung.
• Cloud‑basierte WAF/CDN (z. B. Cloudflare): Schützt auch vor volumetrischen Angriffen und bietet zusätzliche Layers.
• Multi‑Factor Authentication (MFA): Verhindert Erfolg bei gestohlenen Passwörtern.

Sicherheits‑Härtungsempfehlungen

• Nutzen Sie starke, individuelle Passwörter und Schlüsselpaare für SSH.
• Deaktivieren Sie Passwort‑Authentifizierung, wenn möglich, und erzwingen Sie Public‑Key‑Authentifizierung.
• Begrenzen Sie SSH‑Zugänge per Firewall auf bekannte IP‑Bereiche (wenn praktikabel).
• Halten Sie das System und Brutelock aktuell.

Rollenbasierte Checkliste

• Administrator:
  • Installation und Konfiguration durchführen.
  • Whitelist verwalten.
  • iptables‑Integration testen.
• Betreiber / SRE:
  • Monitoring und Alerts konfigurieren.
  • Regelmäßige Log‑Reviews.
• Sicherheitsverantwortlicher:
  • Periodische Überprüfung von Regeln und False‑Positives.
  • Abstimmung mit Incident‑Response‑Plan.

Kurzes Playbook für Incidents

1. Alarm prüfen und Quelle identifizieren.
2. Legitimität der IPs kontrollieren (Blacklist/Whitelist abgleichen).
3. Bei Fehlalarm: IP in Whitelist aufnehmen, Brutelock neu laden.
4. Bei echten Angriffen: temporäre Sperrregeln verschärfen, Netzwerksegment isolieren, Forensik starten.
5. Nachbearbeitung: Regeln anpassen, Learnings dokumentieren.

1‑Zeilen‑Glossar

• Daemon: Hintergrunddienst, der kontinuierlich läuft.
• Whitelist: Liste von IPs, die niemals gesperrt werden dürfen.
• Regex: Muster zur Suche in Logdateien.

Zusammenfassung

Brutelock ist ein praktisches Werkzeug, um Brute‑Force‑Angriffe automatisiert zu dämpfen. Installieren Sie den Agenten, konfigurieren Sie Logs und Whitelist, integrieren Sie iptables und beobachten Sie das System aktiv. Ergänzen Sie Brutelock durch MFA, Netzwerkfilter und ein Monitoring‑Setup, um umfassende Sicherheit zu erreichen.

Wichtig: Testen Sie alle Firewall‑ und Konfigurationsänderungen vorsichtig, um Betriebsunterbrechungen zu vermeiden.