Fail2ban és una eina de seguretat per a servidors Linux que ajuda a protegir el teu servidor contra atacs de força bruta. Funciona monitoritzant els registres de diversos serveis, com SSH, FTP, Apache, entre d'altres, a la recerca d'intents d'inici de sessió fallits. Quan detecteu un nombre predefinit d'intents fallits des de la mateixa adreça IP, bloqueja temporalment aquesta adreça IP, ja que considera que s'estan produint vulnerabilitats i activitats sospitoses. D'aquesta manera dificulta que un atacant continuï amb els intents d'accés no autoritzat.
Aquests registres són analitzats i, quan el nombre d'incidents arriba a un llindar predefinit, Fail2Ban pot enviar una notificació per correu electrònic o bloquejar l'adreça IP de l'atacant durant un període determinat. Un cop finalitzada la prohibició, l'adreça IP es pot tornar a utilitzar.
El funcionament de Fail2Ban, es basa en el concepte de «presons«. (conjunt de regles i configuracions específiques que s'apliquen a un escenari particular oa un tipus específic d'activitat sospitosa al servidor). La configuració de cada jail defineix les accions que cal prendre quan es detecta un atac, utilitzant filtres predefinits (conjunts d'una o més expressions regulars per al monitoratge de registres).
En Obsidiana Plesk, (panell de control que pots trobar a tots els servidors de Nominalia), Fail2Ban està activat per defecte: tots els jails disponibles estan habilitats i s'utilitza la configuració predeterminada. En la majoria dels casos, es recomana mantenir aquesta configuració, i després fer les configuracions específiques que siguin necessàries.
Quan Fail2Ban detecta activitat sospitosa que coincideix amb les regles definides en un jail específic, activa les mesures de seguretat corresponents, com ara el bloqueig temporal de l'adreça IP de l'atacant o l'aplicació d'altres accions de protecció. Essencialment, els jails permeten a Fail2Ban segmentar i controlar diferents tipus d'amenaces de manera individualitzada, cosa que millora la capacitat del sistema per protegir el servidor contra una varietat d'atacs.
Aquí hi ha una guia bàsica sobre com modificar Fail2ban:
- Veus a Eines i configuració > Prohibició d'adreces IP (Fail2Ban) (sota «Seguretat»).
- Ves a la pestanya «Configuració», on podràs canviar el següent:
- Període de prohibició de l'adreça IP – l'interval de temps en segon durant el qual es prohibirà l'adreça IP. Un cop finalitzat aquest període, l'adreça IP es pot tornar a utilitzar.
- Interval de temps per a la detecció d'atacs subsegüents – l'interval de temps en segons durant el qual el sistema comptabilitzarà el nombre d'intents de sessió erronis i altres accions no desitjades des d'una determinada adreça IP.
- Nombre d'errors abans de procedir amb la prohibició de l'adreça IP – el nombre d'intents d'inici de sessió fallits des de l'adreça IP.
- Fes clic a ACCEPTAR.
Fail2Ban a Plesk també té algunes limitacions
- Fail2Ban ofereix protecció davant d'atacants que disposin tant d'adreces IPv4 com d'adreces IPv6.
- En principi, Fail2Ban només es basa en IPs (sense cerques de noms de host).
- Fail2Ban no ofereix protecció contra atacs distribuïts (atacs des de diferents IP's alhora) per força bruta, atès que identifica els intrusos per la seva adreça IP, controlant múltiples intents des de la mateixa IP.
- Si Plesk està instal·lat en un VPS, el límit de registres iptables (
numiptent
) del VPS pot afectar el funcionament de Fail2Ban. Quan s'excedeix aquest límit, Fail2Ban deixa de funcionar correctament i al registre de Fail2Ban apareixerà una línia com la següent:fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
En aquest cas, posa't a contacte amb nosaltres per resoldre la incidència.
Com posar (diverses) adreces IP a White List
Quan una IP no s'hauria d'haver bloquejat ja sigui perquè has estat tu mateix que has fallat repetidament a l'accés o perquè tens un cron o similar que està donant falsos positius, pots configurar la teva IP perquè File2ban no la bloquegi.
- Veus a Eines i configuració > Prohibició d'adreces IP (Fail2Ban) > Adreces IP de confiança > Afegir IP de confiança.
- En el camp adreça IP, indica una adreça IP, un rang IP o un nom de host DNS i fes clic a ACCEPTAR.
Pots veure i descarregar els arxius de registre de Fail2Ban a Eines i configuració > Prohibició d'adreces IP (Fail2Ban) > pestanya Inscripció i registre al càmping .
Pots veure la llista d'adreces IP prohibides, cancel·lar prohibicions o anar a la llista d'adreces IP de confiança a Eines i configuració > Prohibició d'adreces IP (Fail2Ban) > pestanya Adreces IP prohibides .
Podeu veure la llista d'adreces IP que mai no es prohibiran, afegir i eliminar adreces IP d'aquesta llista a Eines i configuració > Prohibició d'adreces IP (Fail2Ban) > pestanya Adreces IP de confiança .
Annex: Que és un atac distribuït
Fail2Ban és una eina de seguretat que protegeix contra atacs de força bruta mitjançant la identificació i el bloqueig d'adreces IP que fan múltiples intents fallits d'autenticació o accés al servidor.
Tot i això, Fail2Ban té una limitació en el seu enfocament de seguretat. Funciona monitoritzant els registres a la recerca de patrons específics d'activitat sospitosa, com a intents repetits i fallits d'inici de sessió des d'una mateixa adreça IP. Quan detecta aquests patrons, podeu aplicar mesures preventives, com ara el bloqueig temporal de l'adreça IP involucrada.
Ara la part clau de l'afirmació és que Fail2Ban no ofereix protecció contra atacs distribuïts per força bruta. Això és perquè, encara que és efectiu per bloquejar atacs provinents d'una sola adreça IP, no pot detectar ni mitigar atacs que s'originen des de múltiples adreces IP diferents simultàniament. En altres paraules, si un atac de força bruta es duu a terme des de múltiples ubicacions (com una xarxa de servidors compromesos, amb finalitats de hackeig o de correu brossa), Fail2Ban no pot aturar-lo eficaçment, ja que només s'enfoca a identificar i bloquejar adreces IP individuals.
Per tant, mentre Fail2Ban és útil per protegir contra atacs de força bruta dirigits des d'una única adreça IP, no és efectiu contra atacs distribuïts per força bruta, ja que el vostre enfocament de detecció es basa en l'activitat d'adreces IP individuals.
En resum, Fail2ban és una eina poderosa per protegir el vostre servidor Linux contra atacs de força bruta des d'una IP cada vegada. Revisar regularment els registres i ajustar la configuració segons calgui t'ajudarà a mantenir la seguretat del teu servidor.
La nova gamma de servidors de Nominalia, disposa de Plesk amb File2ban perquè estiguis ben protegit.