Phenquestions
IPS nebo Intrusion Prevention System je technologie používaná v zabezpečení sítě ke zkoumání síťového provozu a prevenci různých útoků detekcí škodlivých vstupů. Kromě detekce škodlivých vstupů, jak to dělá systém detekce narušení, také zabraňuje síti před škodlivými útoky. Může zabránit síti před hrubou silou, DoS (odmítnutí služby), DDoS (distribuované odmítnutí služby), zneužití, červy, viry a další běžné útoky. IPS jsou umístěny hned za bránou firewall a mohou odesílat alarmy, rušit škodlivé pakety a blokovat urážlivé adresy IP. V tomto tutoriálu použijeme Fail2ban, což je softwarový balíček pro prevenci narušení, k přidání bezpečnostní vrstvy proti různým útokům hrubou silou.
Jak funguje Fail2ban
Fail2ban čte soubory protokolu (např.G. / var / log / apache / error_log) a získá urážlivé adresy IP, které se pokoušejí o příliš mnoho neúspěšných hesel nebo hledají zneužití. Fail2ban v zásadě aktualizuje pravidla brány firewall tak, aby blokovala různé adresy IP na serveru. Fail2ban také poskytuje filtry, pomocí kterých můžeme použít pro konkrétní službu (např.G., apache, ssh atd.).
Instalace Fail2ban
Fail2ban není na Ubuntu předinstalován, takže před použitím jej musíme nainstalovat.
[chráněno e-mailem]: ~ $ sudo apt-get update -y[chráněno e-mailem]: ~ $ sudo apt-get install fail2ban
Po instalaci Fail2ban spusťte a povolte službu Fail2ban pomocí příkazového řádku.
[chráněno e-mailem]: ~ $ sudo systemctl start fail2ban[chráněno e-mailem]: ~ $ sudo systemctl povolit fail2ban
Nyní zkontrolujte stav služby fail2ban a ověřte, zda byla spuštěna či nikoli.
Konfigurace Fail2ban pro SSH
Fail2ban můžeme nakonfigurovat úpravou / etc / fail2ban / jail.soubor conf. Před úpravou proveďte zálohu tohoto souboru.
[chráněno e-mailem]: ~ $ sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / vězení.místní
Nyní nakonfigurujeme Fail2ban, abychom zabránili službě sshd před škodlivými vstupy. Otevřete / etc / fail2ban / jail.místní soubor ve vašem oblíbeném editoru.
[chráněno e-mailem]: ~ $ sudo nano / etc / fail2ban / jail.místníPřejít na [výchozí] a zadejte konfigurační parametry pod [výchozí] sekce.
[VÝCHOZÍ]ignoreip = 127.0.0.1/8 192.168.18.10/32
bantime = 300
maxretry = 2
findtime = 600
ignorovat je seznam masky cidr, adresy IP nebo hostitele DNS oddělených mezerou. Přidejte své důvěryhodné adresy IP do tohoto seznamu a tyto adresy IP budou na seznamu povolených a nebudou blokovány fail2ban, i když provedou útok hrubou silou na server.
bantime je čas, kdy bude IP blokována po provedení konkrétního množství neúspěšných pokusů na server.
maxretry je počet maximálních neúspěšných pokusů, po kterých je IP po určitou dobu blokován fail2ban.
najít čas je doba, po kterou host vydělá maxretry neúspěšné pokusy, bude blokováno.
Po konfiguraci výše uvedených parametrů nyní nakonfigurujeme službu, na kterou budou výše uvedená pravidla platit. Ve výchozím nastavení má Fail2ban předdefinované filtry pro různé služby, takže pro služby nemusíme zadávat žádné konkrétní položky. V konfiguračním souboru povolujeme nebo zakazujeme pouze různé služby. Otevřete / etc / fail2ban / jail.místní soubor ve vašem oblíbeném editoru.
[chráněno e-mailem]: ~ $ sudo nano / etc / fail2ban / jail.místníNajít [sshd] v souboru a zadejte do sekce následující parametry.
[sshd]enable = true
port = ssh
filtr = sshd
logpath = / var / log / auth.log
maxretry = 3
povoleno definuje, zda je tato služba chráněna fail2banem nebo ne. Pokud enabled je true, pak je služba chráněna; jinak není chráněn.
přístav definuje servisní port.
filtr odkazuje na konfigurační soubor, který fail2ban použije. Ve výchozím nastavení použije / etc / fail2ban / filter.d / sshd.conf soubor pro službu ssh.
logpath definuje cestu k protokolům, fail2ban bude monitorovat ochranu služby před různými útoky. Pro službu ssh lze ověřovací protokoly najít na / var / log / auth.log, takže fail2ban bude sledovat tento soubor protokolu a aktualizuje bránu firewall detekcí neúspěšných pokusů o přihlášení.
maxretry definuje počet neúspěšných pokusů o přihlášení, než bude blokován fail2ban.
Po použití výše uvedené konfigurace pro fail2ban restartujte službu a uložte změny.
[chráněno e-mailem]: ~ $ sudo systemctl restart fail2ban.servis[chráněno e-mailem]: ~ $ sudo systemctl status fail2ban.servis
Testování Fail2ban
Nakonfigurovali jsme fail2ban k ochraně našeho systému před útoky hrubou silou na službu ssh. Nyní provedeme neúspěšné pokusy o přihlášení do našeho systému z jiného systému, abychom zkontrolovali, zda fail2ban funguje nebo ne. Po provedení několika neúspěšných pokusů o přihlášení zkontrolujeme protokoly fail2ban.
[chráněno e-mailem]: ~ $ cat / var / log / fail2ban.log
Vidíme, že po neúspěšných pokusech o přihlášení byla IP blokována fail2ban.
Seznam všech služeb, pro které je fail2ban povolen, můžeme získat pomocí následujícího příkazu.
[chráněno e-mailem]: ~ $ sudo fail2ban-client status
Výše uvedený obrázek ukazuje, že jsme povolili fail2ban pouze pro službu sshd. Další informace o službě sshd můžeme získat zadáním názvu služby ve výše uvedeném příkazu.
Fail2ban automaticky zruší zakázanou IP adresu po přestávce, ale můžeme kdykoli zrušit zakázání jakékoli IP pomocí příkazového řádku. Získáte tak větší kontrolu nad fail2ban. Chcete-li zrušit zákaz IP adresy, použijte následující příkaz.
[chráněno e-mailem]: ~ $ sudo fail2ban-client set sshd unbanip 192.168.43.35
Pokud se pokusíte zrušit zákaz IP adresy, která není blokována fail2ban, řekne vám, že IP není blokována.
[chráněno e-mailem]: ~ $ sudo fail2ban-client set sshd unbanip 192.168.43.35
Závěr
Pro správce systému nebo bezpečnostního inženýra je velkou výzvou udržovat zabezpečení serverů. Pokud je váš server chráněn heslem, nikoli párem veřejného a soukromého klíče, je váš server zranitelnější vůči útočníkům hrubou silou. Mohou se dostat do vašeho systému použitím různých kombinací hesel. Fail2ban je nástroj, který může omezit útočníky ve spouštění různých druhů útoků, včetně útoků hrubou silou a útoků DDoS na vašem serveru. V tomto kurzu jsme diskutovali o tom, jak bychom mohli pomocí Fail2banu chránit náš server před různými útoky. Můžeme také použít Fail2ban k ochraně dalších služeb, jako je apache, nginx atd.
