Unerwünschten Netzwerkverkehr mit Pi-hole und CrowdSec blocken
Netzwerke lassen sich vor Angriffen schützen. Pi-hole lässt Anfragen an Domains ins Leere laufen und CrowdSec blockiert als bösartig eingestufte IP-Adressen.
(Bild: Vanessa Bahr / KI / heise medien)
- Sebastian Gebhard
Pi-hole und CrowdSec sind Tools zum Härten eigener Netzwerke. Sie sind kostenlos und Open Source und es gibt eine Reihe an Implementierungsoptionen, sodass sie flexibel in jede Infrastruktur integrierbar sind. Beide lassen sich vom kleinen Heimnetz oder Büro mit wenigen Angestellten bis hin zu großen Unternehmensnetzen einsetzen, sind zentral installierbar und schützen viele Clientgeräte, ohne dass man sie anfassen oder mit Zusatzsoftware ausstatten muss.
- Tools wie CrowdSec und Pi-hole blockieren bösartigen und ungewollten Netzwerkverkehr im eigenen Netz und erhöhen das Sicherheitsniveau.
- Pi-hole filtert DNS-Abfragen gegen bekannte Blocklisten.
- Die Integration von CrowdSec in die eigene Firewall oder gehostete Dienste hilft Angriffe zu erkennen und liefert Blocklisten bekannter Angriffsinfrastruktur.
Die beiden Tools verfolgen unterschiedliche Ansätze, um ihr Ziel zu erreichen: Pi-hole stellt den DNS-Server für das Netzwerk bereit und unterbindet so die DNS-Auflösung von Hostnamen auf der Blockliste. Die standardmäßig mitgelieferte Blockliste enthält bekannte Adware- und Malwarehostnamen. Durch die blockierte DNS-Auflösung erfährt das Endgerät nicht, wie die IP des gewünschten Servers lautet, und kann sich daher nicht verbinden. CrowdSec ist Firewall, Intrusion Detection System, Intrusion Prevention System und Web Application Firewall und unterbindet nicht DNS-Abfragen, sondern Verbindungsversuche von oder zu bekannten bösartigen IP-Adressen. Zudem erkennt es Angriffe auf die eigene Infrastruktur. Im Blickpunkt stehen Zugriffe und Angriffe aus dem Internet auf Dienste, die man dort zur Verfügung stellt.
Wie man Pi-hole installiert
Pi-hole lässt sich auf vielen Linux-Systemen installieren. Berücksichtigt sind alle aktiv gepflegten Versionen der Distributionen Raspberry Pi OS, Armbian, Ubuntu, Debian, Fedora und CentOS Stream. Installieren kann man das Tool auf einem dedizierten Gerät (etwa Raspberry Pi), einer virtuellen Maschine oder einem Container. Ein Docker-Image steht ebenfalls bereit. Wichtig ist, dass dem Gerät eine statische IP-Adresse im Netz zugewiesen ist, die sich nicht ändert. Die Beispiele des Artikels verwenden LXC unter Ubuntu 24.04. Ein Skript der Pi-hole-Webseite installiert das Tool:
Das war die Leseprobe unseres heise-Plus-Artikels "Unerwünschten Netzwerkverkehr mit Pi-hole und CrowdSec blocken". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
