VPS schützen mit Intrusion-Prevention-Systemen

Sicher, bei einem Virtual Private Server (VPS) sind Performance, ein gutes Preis-Leistungs-Verhältnis und die Freiheiten, den Server ganz nach Ihren Vorstellungen einrichten zu können, wichtige Faktoren. Doch darf ein entscheidender Punkt nie vergessen werden: die Sicherheit. Denn was nützt die beste Hardware und die ausgereifteste Konfiguration, wenn ein Hackerangriff kurzerhand alles lahmlegt? Dann droht nicht nur Mehraufwand, um alles wieder zum Laufen zu bringen. Auch der Arbeitsalltag könnte empfindlich gestört werden, Daten könnten verloren sein und Umsätze ausfallen.

Mit System zu mehr Sicherheit

Um es gar nicht erst so weit kommen zu lassen, sollten Sie effektive Sicherheitsvorkehrungen treffen. Angriffe bzw. Einbrüche – oder auf Englisch: Intrusions – auf Ihren VPS lassen sich mit Intrusion-Prevention-Systemen (IPS) oftmals erfolgreich verhindern. Daher schauen wir uns die Themen Intrusion Detection und Intrusion Prevention bei einem VPS an. Zwei Beispiele für Intrusion-Prevention-Systeme betrachten wir dabei genauer: Fail2Ban und Snort.

Unsere Schritt-für-Schritt-Anleitung für geübte Server-Administratorinnen und -Administratoren zeigt Ihnen, wie Sie die genannten IPS auf Ihrem VPS installieren und so für mehr Sicherheit sorgen können. Ein Tipp für alle, die sich diesen Aufwand lieber sparen und dennoch das Thema Sicherheit angehen wollen: Mit den komfortablen Advanced Services von Host Europe übernehmen das unsere erfahrenen Admins.

Was ist Intrusion Detection und was ist Intrusion Prevention?

Intrusion Detection ist ein Mechanismus, der zur Erkennung von Angriffen auf ein Netzwerk oder einen Server eingesetzt wird. Ein Intrusion-Detection-System (IDS) überwacht den Datenverkehr auf dem VPS und erkennt verdächtige Aktivitäten, die auf einen Angriff hinweisen könnten (Indicators of Compromise, IoC), zum Beispiel ungewöhnlicher Netzwerkverkehr. Wird solch ein Angriff erkannt, wird eine Warnung an den Administrator gesendet. Dieser kann dann weitere Maßnahmen einleiten, um den Angriff abzuwehren.

Einen Schritt weiter geht Intrusion Prevention. Auch hiermit wird der Datenverkehr und Logfiles auf verdächtige Aktivitäten geprüft, die auf eine Attacke oder unrechtmäßiges Eindringen hindeuten. Wenn eine verdächtige Aktivität erkannt wird, wird aber nicht nur eine Warnung ausgegeben. Das IPS wird automatisch Maßnahmen ergreifen, um den VPS zu schützen. Meist heißt das, dass die IP-Adressen, von denen der Angriff ausgeht, blockiert werden.

Fail2Ban und Snort: Intrusion Prevention auf unterschiedlichen Ebenen

Zwei bewährte Open-Source-Systeme zur Intrusion Prevention sind Fail2Ban und Snort. Obwohl es sich bei beiden um IPS handelt, unterscheiden sie sich stark in ihrer Funktionsweise und der Ebene, auf der sie arbeiten.

Snort ist ein umfassendes Netzwerküberwachungstool. Es analysiert den ein- und ausgehenden Netzwerkverkehr und vergleicht ihn mit charakteristischen Mustern bekannter Angriffe. Je nach Konfiguration kann dieser Datenverkehr dann gezielt geblockt werden. Da Angreifer sich immer wieder neue Methoden ausdenken, muss auch die Liste der Muster, auf die Snort reagiert, regelmäßig aktualisiert werden.

Fail2Ban hingegen ist ein Intrusion-Prevention-System, das auf die Erkennung von verdächtigen Aktivitäten im Zusammenhang mit verschiedenen Diensten oder Anwendungen abzielt. Zum Beispiel kann es mehrfach fehlgeschlagene Anmeldeversuche bei SSH, FTP, Mailservern oder WordPress erkennen und automatisch die IP-Adresse des Angreifers blockieren.

Kurz gesagt: Snort überwacht den gesamten Datenverkehr im Netzwerk – Fail2Ban schützt spezifische Anwendungen und Dienste. Für viele Zwecke reicht Fail2Ban aus; für größtmöglichen Schutz ist die Nutzung beider Systeme empfehlenswert.

Wie lässt sich ein Intrusion-Prevention-System auf einem VPS implementieren?

Mit den genannten Intrusion-Prevention-Systemen Fail2Ban und/oder Snort können Sie eine effektive Verteidigungslinie aufbauen. Wir zeigen Ihnen, mit welchen Handgriffen dies gelingt – ausgehend von einem VPS mit der Linux-Distribution Ubuntu.

Installation von Fail2Ban

Alles, was wir für die Installation von Fail2Ban benötigen, ist ein SSH-Zugang zum Server. Mit einem kleinen Tool wie PuTTY lässt sich dieser schnell herstellen. Mit den folgenden Schritten geht es weiter:

• Um sicherzugehen, dass wir die aktuelle Version herunterladen, updaten wir zunächst die Paketlisten: sudo apt update.
• Die Installation starten wir mit: sudo apt install fail2ban.
• Nachdem Fail2Ban installiert wurde, können wir einige Einstellungen nach Belieben anpassen. Zum Beispiel können wir die maximale Anzahl von fehlgeschlagenen Anmeldeversuchen festlegen, bevor ein Benutzer gesperrt wird. Auch können wir festlegen, wie lange ein Benutzer gesperrt bleibt, bevor er wieder zugreifen kann. Der Befehl zum Öffnen der Konfigurationsdatei mit dem Editor Nano: sudo nano /etc/fail2ban/jail.conf.
• Ebenso können wir Regeln für spezifische Dienste oder Anwendungen festlegen. Eine Regel besteht aus einem Abschnitt in der Konfigurationsdatei, der den Dienst oder die Anwendung definiert, die überwacht werden soll, sowie den Aktionen, die Fail2Ban ergreifen soll, wenn eine Angriffsaktivität erkannt wird. Um eine neue Regel hinzuzufügen, öffnen wir folgende Datei: sudo nano /etc/fail2ban/jail.local.
• Nachdem wir Fail2Ban konfiguriert haben, müssen wir es nur noch starten: sudo service fail2ban start.

Fail2Ban wird nun den eingehenden Datenverkehr auf Ihrem VPS überwachen und verdächtige Benutzer blockieren.

Installation von Snort

Auch Snort lässt sich einfach über die Kommandozeile installieren. Allerdings erfordert es eine umfangreichere, individuelle Konfiguration, um seine volle Wirkung gegen Angriffe entfalten zu können. So umfangreich, dass die Darstellung den Rahmen dieses Artikels sprengen würde. Daher belassen wir es bei den ersten grundlegenden Schritten (ausführliche Infos finden Sie auf der Snort-Projektwebsite):

• Mit sudo apt update && sudo apt upgrade stellen wir sicher, dass unser System auf dem neuesten Stand ist.
• Wir installieren Snort mit folgendem Befehl: sudo apt install snort.
• Bei der Installation werden erste Angaben zur Netzwerkkonfiguration abgefragt. Weitere Einstellungen können wir in der Konfigurationsdatei mit einem Texteditor vornehmen: sudo nano /etc/snort/snort.conf.
• Dann können wir Snort starten: sudo service snort start.

Nun überwacht Snort den Netzwerkverkehr Ihres VPS, um ungewöhnliche Aktivitäten oder Angriffe zu erkennen.

Was kann man noch für die Sicherheit des VPS tun?

Es ist zwar kein richtiges Intrusion-Prevention-System, jedoch eine gute Ergänzung: Mit DDOS Deflate etablieren Sie eine weitere Verteidigungslinie – wie der Name es bereits vermuten lässt, vor allem gegen Denial-of-Service (DDoS)-Angriffe. Da es schnell installiert ist, empfiehlt es sich, auf diese Weise den eigenen VPS vor einer Überflutung mit Anfragen zu schützen, die sonst den Server lahmlegen könnten.

Darüber hinaus ist es wichtig, die installierten Pakete auf dem VPS aktuell zu halten und die Schutzmaßnahmen regelmäßig zu überprüfen: Passen sie noch zur Server- und Netzwerkkonfiguration, den eingesetzten Anwendungen und der Bedrohungslage? Intrusion-Prevention-Systeme sind keine Tools, die man einmal aktiviert und dann einfach machen lassen kann. Schließlich tauchen auch immer wieder neue, trickreiche Angriffsmethoden auf.

Fazit: Intrusion-Prevention-Systeme bringen schnell Sicherheit – noch schneller mit unseren Advanced Services

Wer einen Virtual Private Server vor Angriffen und unbefugtem Zugriff schützen möchte, kann mit Intrusion-Prevention-Systemen wirksame Schutzmaßnahmen ergreifen. Mit Fail2Ban und Snort stehen zwei effektive Anwendungen kostenfrei zur Verfügung. Die Installation ist für geübte Administratorinnen und Administratoren mit ein wenig Aufwand kein Problem. Wer sich diesen Aufwand aber gerne sparen oder beim Thema Sicherheit lieber Profis machen lassen möchte, der kann ganz einfach auf unsere komfortablen Advanced Services setzen.

Am besten starten wir dafür mit einem intensiven Security Audit, bei dem wir Ihren VPS in Sachen Sicherheit auf Herz und Nieren prüfen. Wir schließen identifizierte Sicherheitslücken und installieren und konfigurieren Intrusion-Prevention-Systeme sowie DDoS Deflate. Wir konfigurieren die Systeme individuell nach Ihren Voraussetzungen und den von Ihnen eingesetzten Diensten und Anwendungen.

So sichern Sie Ihren VPS und damit Ihr Geschäft, ohne dafür Zeit und Kapazitäten einsetzen zu müssen. Und unsere Advanced Services können noch mehr: Unsere Expertinnen und Experten übernehmen zum Beispiel auf Wunsch die Ersteinrichtung, schrauben an der Performance oder implementieren eine funktionierende Backup-Strategie  – während Sie sich voll und ganz auf Ihre Arbeit konzentrieren können.

Titelmotiv:

• Über
• Letzte Artikel

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Head of Content Marketing Germany und Chefredakteur des Blogs der Host Europe GmbH, einem der führenden Anbieter von Webhosting- und Serverprodukten sowie Domains in Europa.

Letzte Artikel von Wolf-Dieter Fiege (Alle anzeigen)

• Die meisten Webseiten haben Probleme mit der Barrierefreiheit, unabhängig von der Branche. - 13. Mai 2024
• Was Websitebetreiber über das Barrierefreiheitsstärkungsgesetz (BFSG) wissen sollten - 8. Mai 2024
• 21 Jahre WordPress: Ein Tool, das das Internet geprägt hat – Jetzt Jubiläumsangebote sichern - 3. Mai 2024