.htaccess: Blockieren ganzer Netzblöcke

Mrz 29 2011 Published by under Howtos, Security, Technical, Tips and Tricks, Tutorials

Wer einen Online-Shop, Portal, News-Board oder Ähnliches sein Eignen nennt, sollte sich zumindest grundlegend mit den Sicherheitsaspekten einer solchen öffentlich zugänglichen Anwendung befassen.Die häufigsten Angriffe auf Web-Applikationen treten aktuell durch Remote-File-Inclusions (RFI) in Erscheinung. Wie verhindert man nun Angriffe auf den dem Endanwender (Webmaster) größtenteils unbekannten Quellcode?

Ähnlich wie bei der Server-Absicherung selbst, sollten hier zunächst die großen Schrauben zuerst rein gedreht werden um Skript-Kiddies das Leben etwas schwerer zu machen.

Ein Passwortschutz für ein öffentliches Forum ist allerdings nicht erstrebenswert. Des weiteren verhindert eine Authentifizierung in keinem Fall einen Angriff auf die Applikation selbst. Auch eine verschlüsselte Verbindung bietet entgegen der landläufigen Meinung keinen Schutz vor Angriffen. Lediglich die Kommunikation kann nicht ohne Weiteres mitgelesen werden. Nur welchen Effekt hat eine „unsichere“ Applikation , nur weil der I/O verschlüsselt erfolgt ?

Zurück zur .htaccess. Nach unserer beruflichen Erfahrung, gibt es Häufungen der RFI-Angriffe aus verschiedenen einzelnen Ländern. Darunter unter anderem: Nigeria, Brasilien, Russland, China, Malaysia …

Es gibt bisher keine einfache Schnittstelle, mit der man der .htaccess mitteilen könnte, welches Land man denn blockieren möchte. Daher muss man auf Netzwerkbasis blockieren. Es gibt viele frei verfügbare Listen/Dateien die genau dies für uns bewerkstelligen.

Ein Beispiel: countryIPblocks

Angenommen wir möchten nun „NORWEGEN“ blockieren. Wir öffnen also die Datei und kopieren den Inhalt 1:1 in die .htaccess in unsere Web-App-Verzeichnis welches wir schützen möchten.

###############################
# Country: NORWAY
# ISO Code: NO
# Total Networks: 675
# Total Subnets:  8,964,016
deny from 2.148.0.0/14
deny from 31.24.128.0/21
deny from 31.25.216.0/21
deny from 31.45.0.0/17
deny from 31.185.24.0/21
deny from 31.186.88.0/21
deny from 46.9.0.0/16
deny from 46.15.0.0/16
deny from 46.16.48.0/21

################################

Es ist keine weitere Einstellung nötig. Die deny-Liste hat bereits das korrekte Format.

No responses yet

Schreibe einen Kommentar

Blogverzeichnis Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Webkatalog und Blogverzeichnis Blog Verzeichnis