Eine weltweit erreichbare Universität wie die Friedrich-Alexander-Universität Erlangen-Nürnberg ist auch immer wieder Ziel von Angriffen auf ihre Webserver. Fail2ban ist eines der zahlreichen Sicherheitsmechanismen, die Angreifer davon abhalten die Infrastruktur auszuspionieren.

Einbrecher sind der Graus eines jeden Haus- oder Wohnungsbesitzers. Deshalb macht man ihnen den Einbruch so schwer wie möglich – sperrt die Tür ab und schließt die Fenster, wenn man weggeht. Eine Garantie bietet das zwar nicht, aber man macht es den Einbrechern damit so schwer wie möglich. Umso länger sie für den Einbruch brauchen, desto eher verlieren sie die Lust daran.
Entsprechend verhält es sich auch mit ihnen in der IT. An der FAU gibt es deshalb zahlreiche Sicherheitsmechanismen, die die IT schützen. Eine davon: Fail2ban. Und die macht genau das, was der Name vermuten lässt: Fehlschläge führen bei ihr zum Bann.

Es gibt viele Bots, die Angriffe fahren und austesten, wie weit sie kommen oder ob sie in die Systeme eindringen können. So wie vergangene Woche zum Beispiel, als innerhalb von kurzer Zeit 10.000 Anmeldeversuche, sogenanntes Brute Force, auf einem Webserver eingingen. Zugriff auf Daten erhielten sie allerdings nicht, denn Fail2ban hat die Angreifer rechtzeitig blockiert.

100-mal vertippt sich niemand

Das Prinzip von Fail2ban ist denkbar einfach, denn es merkt sich beispielsweise, wie viele Anmeldeversuche mit einer bestimmten IP-Adresse innerhalb eines gewissen Zeitraumes vorgenommen werden, sind es zu viele, wird die IP-Adresse gesperrt. Damit kann sie auf keinen Webserver mehr zugreifen. Ein weiterer betrifft beispielsweise Fehlerseiten, die bekannten „404 Fehlerseiten“. „Es passiert immer wieder, dass irgendwo sogenannte tote Links liegen oder sich ein User vertippt“, erklärt Jannik Ebert. Er ist Mitarbeiter der Abteilung Ausbildung & Information am RRZE und in der Webgruppe zuständig für Fail2ban. „Aber dass 100-mal innerhalb von fünf Minuten noch ein Fehler ist, ist sehr unrealistisch.“ Vielmehr steckt laut dem Webentwickler, ein gezielter Angriff dahinter und deshalb werden auch solche Absender gesperrt. Und das sind nur zwei von insgesamt derzeit 16 Filtermöglichkeiten.

Die Entwickler können beliebig viele Filter setzen; zu viele oder falsche können mitunter jedoch zu fehlerhaften Verbannungen führen. Es ist immer ein Abwägen, wie Ebert erklärt. „Sind wir zu restriktiv, führt das zu vielen falsch-positiven Fällen und sind wir zu tolerant, handeln wir uns womöglich einen Angriff ein.“ Wenn ein Nutzer oder eine Nutzerin beispielsweise eine Fehlermeldung angezeigt bekäme und deshalb die Seite immer wieder laden würde, könnte dies zu einem fehlerhaften Ausschluss führen.

Nicht für immer verbannt

Deshalb gibt es zusätzlich die zeitliche Hürde. Und die lässt sich nicht so einfach herausfinden, denn diese wird regelmäßig angepasst, sodass ein Angreifer nicht vorhersagen kann, wie viele Versuche er hat. „Wenn zum Beispiel klar wäre, dass man nach 100 Anmeldeversuchen für fünf Minuten gesperrt würde, könnte jeder Angreifer einfach alle fünf Minuten 99 Anfragen machen und wäre fein raus“, sagt Ebert. Derzeit sind an der FAU weltweit rund 800 IP-Adressen gesperrt. Die höchste gemessene Zahl gesperrter IP-Adressen im vergangenen Jahr war 1.600. Die Zahlen sind dynamisch, denn einmal gebannt heißt nicht für immer verbannt. „IP-Adressen werden regelmäßig neu vergeben. Würden die Adressen dauerhaft gesperrt bleiben, würde jemand anderes für das bestraft, was der Vorbesitzer getan hat“, erklärt Ebert. Allerdings: Je öfter man gebannt wird, desto länger muss man draußen bleiben.

Normalerweise kann eine IP-Adresse nur auf einem Webserver gebannt werden. Dank eines Abschlussprojekts der ehemaligen RRZE-Auszubildenden Josephine Seidel, kann die IP-Adresse automatisch auf mehreren Webservern der FAU gesperrt werden. Denn sie hat eine Software programmiert, die es ermöglicht, dass Fail2ban im Hintergrund die jeweils gesperrten IP-Adressen abgleicht und auf den angeschlossenen Webservern sperrt.

„Das erschwert das Auskundschaften unserer Infrastruktur und macht die FAU ein Stück weit sicherer“, sagt Ebert. Aber es ist bei weitem nicht der einzige Sicherheitsmechanismus, den es an der FAU gibt. Vielmehr ist es am Ende ein Zusammenspiel aus verschiedenen Bausteinen, die den Angreifern den Einbruch so schwer wie möglich machen und dem Personal und den Servern eine Menge Stress ersparen und es am Ende trotzdem heißt: Die müssen draußen bleiben.

Text: Corinna Russow