Fwlogwatch: Unterschied zwischen den Versionen

Aus Linux Bibel
Wechseln zu: Navigation, Suche
K
K
 
Zeile 1: Zeile 1:
 
[[Category:System]][[Category:Sicherheit]][[Category:Netzwerk]]
 
[[Category:System]][[Category:Sicherheit]][[Category:Netzwerk]]
 +
<seo title="Fwlogwatch - die Firewall unter Linux beobachten" metakeywords="linux,debian,ubuntu,kubuntu,mint,fwlogwatch,firewall,auf,dem,server,ohne,grafische,oberfläche,beobachten" metadescription="Mit der Software Fwlogwatch beobachten Sie die Firewall auf einem entfernten Server ohne grafische Oberfläche indem Sie sich Berichte zusenden lassen, wie es funktioniert zeigt Ihnen dieser Beitrag auf der Linux Bibel" google-site-verification="AVSf_G9kQatS3exsfCCg77wPWhSUOFOgAeO7NEk2SSQ" />
 
== Informationen ==
 
== Informationen ==
 
Auf einem normalen Heim-Rechner oder einem Notebook könnte man die Firewall (Firewall einfach mit [[GUFW]] oder Firewall professionell mit [[Iptables]]) auch über das GUI GUFW beobachten, oder ganz live auf dem [[Terminal / Konsole / Kommandozeile]] als Nutzer [[Administrator - root]] durch den Befehl:
 
Auf einem normalen Heim-Rechner oder einem Notebook könnte man die Firewall (Firewall einfach mit [[GUFW]] oder Firewall professionell mit [[Iptables]]) auch über das GUI GUFW beobachten, oder ganz live auf dem [[Terminal / Konsole / Kommandozeile]] als Nutzer [[Administrator - root]] durch den Befehl:

Aktuelle Version vom 13. Mai 2018, 19:21 Uhr

Informationen

Auf einem normalen Heim-Rechner oder einem Notebook könnte man die Firewall (Firewall einfach mit GUFW oder Firewall professionell mit Iptables) auch über das GUI GUFW beobachten, oder ganz live auf dem Terminal / Konsole / Kommandozeile als Nutzer Administrator - root durch den Befehl:

journalctl -f

Hier sieht man alles was das System inklusive der Firewall aktuell macht, mit Strg + c wird die Ausgabe beendet. Gerade aber wenn man einen Server im Internet hängen hat kann man nicht den ganzen Tag via SSH Secure Shell dran hängen und die Firewall beobachten, doch gerade auf einem Server der den ganzen Tag im Netz hängt sollte man auf die Sicherheit des Servers achten, dazu gibt es im Menü bereits einige nette Artikel. In diesem Fall geht es nun um Informationen der Firewall - besser gesagt Verbindungen die die Firewall geblockt hat - und je länger ein Server im Netz läuft desto mehr interessieren sich böse Jungs und Mädels für diesen, da wird nach offenen Ports geforscht, nach laufenden Diensten und dann wird probiert - 'komme ich da irgendwie rein'. Unsere so genannten Script-Kiddies hören meist danach auf wenn sie merken das die Firewall gut konfiguriert ist, die ganz die Bösen aber nicht. Da ist es gut wenn man gewarnt ist und hier hilft eine Software die Ihnen zeigt wer sich da am Server versucht hat und wieder kommen könnte.

Genau eine solche Software ist nun Fwlogwatch, sie sieht sich direkt die Meldungen der Datei "/var/log/messages" an in die der Netfilter - die eigentliche Firewall des Kernels ihre Meldungen schreibt und holt sich hier die geblockten Verbindungen heraus, sammelt diese Meldungen mit den zugehörigen IP-Adressen und schickt Ihnen täglich, wöchentlich oder wie Sie dies wünschen einen genauen Bericht per E-Mail, der Mail-Server muss dafür natürlich installiert sein. Wenn Sie es wünschen schickt Ihnen die Software sogar live für jede geblockte Verbindung eine Benachrichtigung.

Fwlogwatch installieren

Unter auf Debian basierenden Systemen installieren Sie diese Software ganz einfach über die Paket-Verwaltung APT - Software installieren, löschen, aktualisieren durch das Paket "fwlogwatch".

Fwlogwatch konfigurieren

Nach der Installation läuft die Software automatisch bereits, es gilt diese jedoch zu konfigurieren, dies erledigt man als erstes grundsätzlich durch den Befehl:

dpkg-reconfigure fwlogwatch

Dadurch wird eine auf Ncurses gehaltene grafische Oberfläche zur Konfiguration gestartet, als erstes fragt die Software ob Sie im Echtzeit-Modus laufen soll, Pfeil-Tasten wechseln wir auf den Schalter "Ja" und bestätigen mit der Eingabe-Taste. Wir kommen zur Frage ob die Software bei geblockten Verbindungen etwas unternehmen soll - etwa genau die IP-Adresse der geblockten Verbindung sperren - wir belassen diesen Schalter momentan auf "Nein" und bestätigen wieder. Nun geht es weiter ob Sie bei geblockten Verbindungen benachrichtigt werden wollen - dies bejahen wir natürlich mit "Ja (E-Mail)", nun geben wir die Mail-Adresse an an die die Meldungen gesendet werden sollen (hierbei handelt es sich um die Live-Meldungen - dies können dann auch mehr werden) und dann die Mail-Adresse für etwa tägliche Meldungen. Die letzte Frage lassen wir noch so wie sie ist und bestätigen wieder, die Grundeinrichtung wäre erledigt.

Nun gehen wir an das Eingemachte, als Administrator - root öffnen wir die Datei "/etc/fwlogwatch/fwlogwatch.config":

nano /etc/fwlogwatch/fwlogwatch.config
Fwlogwatch konfigurieren

Ich werde hier nur zu Beginn einmal die wichtigsten Werte heraus klauben damit die Software so funktioniert wie sie soll, den Rest können Sie selbst anpassen - die einzelnen Funktionen sind wie man sieht zwar in englisch - diese aber sehr gut beschrieben, eine passende Firewall-Regel werde ich zu einem späteren Zeitpunkt hinzu fügen - für den Fall das man will das die Software bei geblockten Verbindungen selbst etwas unternimmt. Grundsätzlich sind in dieser Datei alle Funktionen auskommentiert, so etwa:

#input

Um einen Eintrag zu aktivieren löschen wir einfach die Raute (#) vor den Eintrag und passen die Option dahinter passend an. In diesem Fall handelt es sich um die Datei die die Software überwachen soll - diese ist bereits automatisch passend vorkonfiguriert und sollte so aussehen:

input = /var/log/messages

Haben Sie die Firewall so konfiguriert das geblockte IP-Adressen in einer anderen Log-Datei landen geben Sie diese hier an, die nächste wichtige Option wäre das Gerät oder in diesem Fall die Software die unsere Firewall bildet - in unseren Fällen lautet diese Netfilter - diesen geben wir mit dem Buchstaben "n" an:

parser = n

Weiter gehen wir mit dem was uns die Software später senden soll von der geblockten Verbindung, in diesem Fall die Quell-IP-Adresse, also die IP-Adresse die geblockt wurde, das Protokoll mit dem der Angreifer es versuchen wollte und den Ziel-Port an unsere Firewall:

src_ip = on
protocol = on
dst_port = on

Nun gehen wir an das Design mit dem uns die Software Berichte über geblockte Verbindungen senden soll, also besser gesagt die Sortierreihenfolge der Informationen:

sort_order = Sacd

Diese lässt sich natürlich wie gewünscht anpassen oder weitere Informationen einfügen (siehe Beschreibung in der Datei), die Zeit der Intervalle in denen Berichte an die angegebene Mail-Adresse gesendet werden sollen:

recent = 24h

In diesem Beispiel alle 24 Stunden, der Nutzer unter dem die Software laufen soll - standardmäßig und passend:

run_as = nobody

sowie ob die Software in Echtzeit Warnungen / Meldungen an Sie versenden soll - dies kann wie schon beschrieben auch etwas lästig werden, aber wirksam ist es auch weil Sie dann selbst etwa über SSH in die Firewall eingreifen können, etwa blockieren.

Wir speichern die Konfiguration mittels Strg + o und bestätigen mit der Eingabe-Taste und schließen den Editor mit Strg + x.

Ob alles richtig funktioniert können wir nun noch mit:

fwlogwatch -T Mail@Adresse

testen, die Software sendet einen ersten Bericht der hoffentlich noch keine blockierten Verbindungen zeigt:

Fwlogwatch - Status-Bericht