Veiligheid

Hoe een IPS (Fail2ban) in te stellen om te beschermen tegen verschillende aanvallen

Hoe een IPS (Fail2ban) in te stellen om te beschermen tegen verschillende aanvallen

IPS of Intrusion Prevention System is een technologie die wordt gebruikt in netwerkbeveiliging om netwerkverkeer te onderzoeken en verschillende aanvallen te voorkomen door kwaadaardige invoer te detecteren. Naast het detecteren van kwaadaardige invoer zoals het Intrusion Detection System doet, voorkomt het ook dat het netwerk kwaadwillende aanvallen uitvoert. Het kan voorkomen dat het netwerk brute-force, DoS (Denial of Service), DDoS (Distributed Denial of Service), exploits, wormen, virussen en andere veelvoorkomende aanvallen. IPS worden net achter de firewall geplaatst en kunnen alarmen verzenden, kwaadaardige pakketten laten vallen en aanstootgevende IP-adressen blokkeren. In deze tutorial zullen we Fail2ban gebruiken, een Intrusion Prevention Software-pakket, om een ​​beveiligingslaag toe te voegen tegen verschillende brute force-aanvallen.

Hoe Fail2ban werkt

Fail2ban leest de logbestanden (e.g. /var/log/apache/error_log) en krijgt de aanstootgevende IP's die te veel mislukte wachtwoorden proberen of op zoek zijn naar exploits. Kortom, Fail2ban werkt de firewallregels bij om verschillende IP's op de server te blokkeren. Fail2ban biedt ook filters die we kunnen gebruiken voor een specifieke dienst (e.g., apache, ssh, enz.).

Fail2ban installeren

Fail2ban is niet vooraf geïnstalleerd op Ubuntu, dus voordat we het gebruiken, moeten we het installeren.

[e-mail beveiligd]:~$ sudo apt-get update -y
[e-mail beveiligd]:~$ sudo apt-get install fail2ban

Na het installeren van Fail2ban, start en activeer je de Fail2ban-service via de opdrachtregel.

[e-mail beveiligd]:~$ sudo systemctl start fail2ban
[e-mail beveiligd]:~$ sudo systemctl fail2ban inschakelen


Controleer nu de status van de fail2ban-service om te bevestigen of deze is gestart of niet.

[email protected]:~$ sudo systemctl status fail2ban

Fail2ban configureren voor SSH

We kunnen Fail2ban configureren door /etc/fail2ban/jail . te wijzigen.conf bestand. Maak een back-up van dit bestand voordat u het wijzigt.

[e-mail beveiligd]:~$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.lokaal

Nu zullen we Fail2ban configureren om te voorkomen dat de sshd-service kwaadwillende invoer krijgt. Open /etc/fail2ban/jail.lokaal bestand in je favoriete editor.

[e-mail beveiligd]:~$ sudo nano /etc/fail2ban/jail.lokaal

Ga naar de [standaard] sectie en voer de configuratieparameters in onder [standaard] sectie.

[STANDAARD]
negeerip = 127.0.0.1/8 192.168.18.10/32
bantime = 300
maxretry = 2
vindtijd = 600

negeerip is de lijst met cidr-masker, ip-adres of DNS-host gescheiden door een spatie. Voeg uw vertrouwde IP's toe aan deze lijst en deze IP's worden op de witte lijst geplaatst en worden niet geblokkeerd door fail2ban, zelfs niet als ze een brute force-aanval op de server uitvoeren.

bantime is de tijd dat een IP wordt geblokkeerd na een bepaald aantal mislukte pogingen op de server.

maxretry is het maximale aantal mislukte pogingen waarna een IP voor een bepaalde tijd wordt geblokkeerd door fail2ban.

tijd vinden is de hoeveelheid tijd gedurende welke als een gastheer maakt maxretry mislukte pogingen, het wordt geblokkeerd.

Na het configureren van de bovenstaande parameters, zullen we nu de service configureren waarop de bovenstaande regels van toepassing zijn. Fail2ban heeft standaard voorgedefinieerde filters voor verschillende services, dus we hoeven geen specifieke vermeldingen voor services in te voeren. We schakelen alleen verschillende services in of uit in het configuratiebestand. Open /etc/fail2ban/jail.lokaal bestand in je favoriete editor.

[e-mail beveiligd]:~$ sudo nano /etc/fail2ban/jail.lokaal

Vind de [sshd] sectie in het bestand en voer de volgende parameters in de sectie in:.

[sshd]
inschakelen = waar
poort = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

ingeschakeld bepaalt of deze service wordt beschermd door fail2ban of niet. Als ingeschakeld waar is, wordt de service beschermd; anders wordt het niet beschermd.

haven definieert servicepoort.

filter verwijst naar het configuratiebestand dat fail2ban zal gebruiken. Standaard gebruikt het /etc/fail2ban/filter.d/sshd.conf-bestand voor ssh-service.

logpad definieert het pad naar logs, fail2ban zal monitoren om de service te beschermen tegen verschillende aanvallen. Voor ssh-service zijn authenticatielogboeken te vinden op /var/log/auth.log, dus fail2ban zal dit logbestand controleren en de firewall bijwerken door mislukte inlogpogingen te detecteren.

maxretry definieert het aantal mislukte inlogpogingen voordat het wordt geblokkeerd door de fail2ban.

Nadat u de bovenstaande configuratie voor fail2ban hebt toegepast, start u de service opnieuw om de wijzigingen op te slaan.

[e-mail beveiligd]:~$ sudo systemctl herstart fail2ban.onderhoud
[email protected]:~$ sudo systemctl status fail2ban.onderhoud

Testen Fail2ban

We hebben fail2ban geconfigureerd om ons systeem te beschermen tegen brute force-aanvallen op de ssh-service. Nu zullen we mislukte inlogpogingen op ons systeem doen vanaf een ander systeem om te controleren of fail2ban werkt of niet. Nadat we nu een aantal mislukte inlogpogingen hebben gedaan, zullen we de fail2ban-logboeken controleren.

[e-mail beveiligd]:~$ cat /var/log/fail2ban.log

We kunnen zien dat na mislukte inlogpogingen het IP-adres is geblokkeerd door fail2ban.

We kunnen een lijst krijgen van alle services waarvoor fail2ban is ingeschakeld door de volgende opdracht te gebruiken:.

[e-mail beveiligd]:~$ sudo fail2ban-client status


De bovenstaande afbeelding laat zien dat we fail2ban alleen hebben ingeschakeld voor de sshd-service. We kunnen meer informatie krijgen over de sshd-service door de servicenaam op te geven in de bovenstaande opdracht:.

[e-mail beveiligd]:~$ sudo fail2ban-client status sshd

Fail2ban deban automatisch het verbannen IP-adres na bantime, maar we kunnen elk IP-adres op elk moment opheffen met behulp van de opdrachtregel. Dit geeft meer controle over fail2ban. Gebruik de volgende opdracht om het IP-adres te deblokkeren:.

[e-mail beveiligd]:~$ sudo fail2ban-client set sshd unbanip 192.168.43.35

Als u probeert een IP-adres te deblokkeren dat niet is geblokkeerd door fail2ban, zal het u alleen vertellen dat het IP-adres niet is geblokkeerd.

[e-mail beveiligd]:~$ sudo fail2ban-client set sshd unbanip 192.168.43.35

Conclusie

Voor een systeembeheerder of een beveiligingsingenieur is het een grote uitdaging om de beveiliging van de servers te behouden. Als uw server wordt beschermd door het wachtwoord, niet door een openbaar en privésleutelpaar, is uw server kwetsbaarder voor brute force-aanvallers. Ze kunnen uw systeem binnendringen door verschillende wachtwoordcombinaties toe te passen. Fail2ban is een tool die kan voorkomen dat aanvallers verschillende soorten aanvallen uitvoeren, waaronder brute force-aanvallen en DDoS-aanvallen op uw server. In deze tutorial hebben we besproken hoe we Fail2ban kunnen gebruiken om onze server te beschermen tegen verschillende aanvallen. We kunnen Fail2ban ook gebruiken om andere diensten zoals apache, nginx, enz. te beschermen.

Microsoft Sculpt Touch draadloze muis Review
Ik las onlangs over de Microsoft Sculpt Touch draadloze muis en besloot hem te kopen. Nadat ik het een tijdje had gebruikt, besloot ik mijn ervaring e...
AppyMouse trackpad en muisaanwijzer op het scherm voor Windows-tablets
Tabletgebruikers missen vaak de muisaanwijzer, vooral wanneer ze gewend zijn om de laptop te gebruiken. Het touchscreen Smartphones en tablets hebben ...
Middelste muisknop werkt niet in Windows 10
De middelste muis knop helpt u door lange webpagina's en schermen met veel gegevens te bladeren. Als dat stopt, zul je uiteindelijk het toetsenbord ge...