Fail2ban – Ochrana pred neoprávneným prístupom na server

Hackeri a ich roboti sa neustále pokúšajú získať prístup na servery, napr. prostredníctvom slovníkového útoku na protokol SSH. Fail2ban je software, ktorý slúži na blokovanie IP adries, z ktorých dochádza k opakovanému pokusu o neoprávnený prístup na server.

fail2ban logo

Fail2ban slúži ako primárna ochrana na blokovanie útokov hrubou silou. Pokusy o prihlásenie sa zapisujú do logov, ktoré sú následne prehliadané scriptom. Ak script vyhodnotí, že ide o útok, na základe definovaných parametrov aktualizuje firewall pravidlá na serveri a na špecifikovaný čas, znemožní opätovný pokus o prihlásenie. Inštaláciu a konfiguráciu si popíšeme nižšie.

Máte záujem sa dozvedieť viac o útokoch a zopár si ich aj vyskúšať? Prihláste sa na kurz Etického Hacking Siete. Viac informácii nájdete TU.

KURZ Etický Hacking Siete – 28.9.2019

Inštalácia Fail2BAN

Fail2BAN nainštalujeme príkazom nižšie.

sudo apt-get install fail2ban

Konfigurácia

Celá konfigurácia sa nachádza v adresári /etc/fail2ban , kde sa nachádzajú nasledovné položky.

  • filter.d
  • action.d
  • fail2ban.conf – hlavný konfiguračný súbor
  • jail.conf – slúži na samostatné banovanie

Začneme úpravou súboru jail.conf .

nano /etc/fail2ban/jail.conf

Konfigurácia môže vyzerať napr. tak, ako je uvedené nižšie.

ignoreip = X.X.X.X
bantime  = 86400 
maxretry = 3 
findtime = 600 

Ignoreip – IP adresy, ktoré nechceme, aby dostali ban.

Bantime – čas, na ktorý dostane útočník ban, pri opakovanom neúspešnom pokuse o autentizáciu

Konfigurácia nižšie definuje, ako sa bude Fail2BAN správať pri pokuse o autentizáciu prostredníctvom protokolu SSH.

[ssh]

 enabled  = true 
 port     = ssh 
 filter   = sshd 
 logpath  = /var/log/auth.log 
 maxretry = 3 

logpath  – Miesto, kde sa ukladajú všetky logy. V našom príklade do súboru /var/log/auth.log .

fail2ban cli

Po dokončení konfigurácie reštartujeme službu, aby sa implementovali zmeny.

/etc/init.d/fail2ban restart
fail2ban restart

Týmto spôsobom vieme efektívne znížiť pravdepodobnosť prelomenia hesla. Samozrejme, ak máte nastavené slabé heslo, útočníkovi bude postačovať menej pokusov na jeho uhádnutie. V takomto prípade váš server Fail2BAN neochráni.

Spustiť slovníkový útok hrubou silou je naozaj jednoduché. Je možné ho vykonať napr. z notebooku s Linuxom pomocou programu Hydra. Návod nájdete v článku Ako hacknúť heslo od vášho routra. Tento útok si tiež môžete vyskúšať na kurze Etický Hacking Siete.

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

CHCEM ODOBERAŤ ČLÁNKY

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.