Fail2ban – Ochrana pred neoprávneným prístupom na server

Hackeri a ich roboti sa neustále pokúšajú získať prístup na servery, napr. prostredníctvom slovníkového útoku na protokol SSH. Fail2ban je software, ktorý slúži na blokovanie IP adries, z ktorých dochádza k opakovanému pokusu o neoprávnený prístup na server.

fail2ban logo

Fail2ban slúži ako primárna ochrana na blokovanie útokov hrubou silou. Pokusy o prihlásenie sa zapisujú do logov, ktoré sú následne prehliadané scriptom. Ak script vyhodnotí, že ide o útok, na základe definovaných parametrov aktualizuje firewall pravidlá na serveri a na špecifikovaný čas, znemožní opätovný pokus o prihlásenie. Inštaláciu a konfiguráciu si popíšeme nižšie.

Inštalácia Fail2BAN

Fail2BAN nainštalujeme príkazom nižšie.

sudo apt-get install fail2ban

Konfigurácia

Celá konfigurácia sa nachádza v adresári /etc/fail2ban , kde sa nachádzajú nasledovné položky.

  • filter.d
  • action.d
  • fail2ban.conf – hlavný konfiguračný súbor
  • jail.conf – slúži na samostatné banovanie

Začneme úpravou súboru jail.conf .

nano /etc/fail2ban/jail.conf

Konfigurácia môže vyzerať napr. tak, ako je uvedené nižšie.

ignoreip = X.X.X.X
bantime  = 86400 
maxretry = 3 
findtime = 600 

Ignoreip – IP adresy, ktoré nechceme, aby dostali ban.

Bantime – čas, na ktorý dostane útočník ban, pri opakovanom neúspešnom pokuse o autentizáciu

Konfigurácia nižšie definuje, ako sa bude Fail2BAN správať pri pokuse o autentizáciu prostredníctvom protokolu SSH.

[ssh]

 enabled  = true 
 port     = ssh 
 filter   = sshd 
 logpath  = /var/log/auth.log 
 maxretry = 3 

logpath  – Miesto, kde sa ukladajú všetky logy. V našom príklade do súboru /var/log/auth.log .

fail2ban cli

Po dokončení konfigurácie reštartujeme službu, aby sa implementovali zmeny.

/etc/init.d/fail2ban restart
fail2ban restart

Týmto spôsobom vieme efektívne znížiť pravdepodobnosť prelomenia hesla. Samozrejme, ak máte nastavené slabé heslo, útočníkovi bude postačovať menej pokusov na jeho uhádnutie. V takomto prípade váš server Fail2BAN neochráni.

Spustiť slovníkový útok hrubou silou je naozaj jednoduché. Je možné ho vykonať napr. z notebooku s Linuxom pomocou programu Hydra. Návod nájdete v článku Ako hacknúť heslo od vášho routra. Tento útok si tiež môžete vyskúšať na kurze Etický Hacking Siete.

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

Ivan Baroňák

Ivan Baroňák

Volám sa Ivan Baroňák. Vyštudoval som vyššie odborné štúdium na SPšE Zochova 9. Ukončené titulom DiS. Pracoval som na miestnom úrade Karlova ves, kde som bol vedúci IT oddelenia. Som rád, že môžem byť súčasťou blogu a dúfam, že moje skúsenosti budú pre tento blog prospešné.
Ivan Baroňák

Ivan Baroňák

Volám sa Ivan Baroňák. Vyštudoval som vyššie odborné štúdium na SPšE Zochova 9. Ukončené titulom DiS. Pracoval som na miestnom úrade Karlova ves, kde som bol vedúci IT oddelenia. Som rád, že môžem byť súčasťou blogu a dúfam, že moje skúsenosti budú pre tento blog prospešné.
Zdieľať príspevok:

Súvisiace príspevky