Fail2ban brute-force zaštita

Fail2ban je open source aplikacija iz kategorije sigurnosnih, razvijena pod GNU GPL licencom, namenjena da spreči brute-force napade na pojedine Linux servise. Brute-force napadi su nasilni, kontinuirani pokušaji da se pribave parametri potrebni za autentifikaciju na neki od sistemskih servisa. Najčešće ih obavljaju automatizovane skripte čiji su pokušaji zasnovani na podacima pohranjenim u rečniku ili podacima koje sama skripta automatski genereše slučajnim izborom.

Fail2Ban štiti od takvih zlonamernih pokušaja, te je postao sinonim za SSH zaštitu Linux servera od brute-force napada, mada je jednako efikasan i kada su u pitanju Apache web server, FTP, Courier POP i IMAP servisi. Fail2ban je portovan, ili drugim rečima prilagođen da radi i na FreeBSD i MacOS X operativnim sistemima.

Pročitajte i: Osnovna zaštita SSH pristupa na serveru (uključijući i Fail2Ban)

Svaki pokušaj autentifikacije na Linux operativnom sistemu beleži se u odgovarajući log fajl. Fail2ban funkcioniše po principu kontinuiranog nadgledanja log fajlova servisa koji su naznačeni u njegovom konfiguracionom fajlu. Kada aplikacija detektuje pojačanu frekvenciju neuspelih pokušaja autentifikacije koja je veća od one definisane u konfiguracinom fajlu data adresa sa koje su pokušaji stigli se stavlja na ban listu na određeni vremenski period.

Fail2ban blokiranje adresa radi u sprezi sa Linux firewall-om i podrazumevano se za tu namenu koristi iptables, ali je moguće koristiti i shorewall firewall. Izbor shorewall firewall-a kao podrazumevanog firewall-a zahteva i neznatne promene postojeće konfiguracije. Sistemski preduslovi za instalaciju Fail2ban-a podrazumevaju prisustvo firewall i Perl paketa na sistemu. Instalacionu arhivu u tar.gz formatu moguće je preuzeti sa adrese http://www.fail2ban.org/wiki/index.php/Downloads, a na istoj stranici dostupni su već predefinisani paketi za popularne Linux distribucije.

f2b

Naglasimo da se na CentOS distribuciji proces instalacije svodi na dve linije otkucane u konzoli – prvu koja omogućuje neophodnu EPEL repozitoriju i drugu koja je zadužena za instalaciju samog paketa. Proces konfiguracije je takođe jednostavan i najčešće se svodi na editovanje glavnog konfiguracionog fajla, mada je aktuelna konfiguraciju posle instalacije sasvim zadovoljavajuća za uobičajene scenarije korišćenja i najčešće nisu potrebne nikakve modifikacije.

Ono što eventualno od parametara možetemo modifikovati je broj neuspelih pokušaja autentifikacije posle kojih se pristup sa date adrese blokira, kao i vreme trajanja zabrane pristupa, a vrednost svakog od ovih parametara unosi se u sekundama. Takođe moguća je integracija fail2ban aplikacije sa “RRDtool” alatom. Kao rezultat ovakve integracije, dobijamo grafičke izveštaje, koji sadrže statističke informacije o neuspelim pokušajima autentifikacije, odakle su lokacijski pristigli, koliko ih je bilo u određenom vremenskom periodu itd.

Pošto fail2ban funkcioniše po principu kontinuiranog iščitavanja log fajla, a između dve provere postoji nekakva minimalna vremenska zadrška, samim time postoji i mogućnost da bude izvršen veći broj pokušaja neuspele autentifikacije od broja naznačenog u konfiguraciji, pre nego što se data adresa blokira. Ovo se u dokumentaciji navodi kao osnovna zamerka ovoj inače izuzetno korisnoj aplikaciji. Kao referencu za dalje istraživanje predlažemo HOWTO stranicu http://www.fail2ban.org/wiki/index.php/HOWTOs na kojoj možete naći mnogo korisnih primera iz domena instalacije i konfigurisanja.

itmogul-logoTekst je preuzet sa ugašenog bloga IT modul i originalni autor ovog teksta je Vladimir. Kompjuteraš IT blog će objavljivati tekstove sa tog bloga kako riznica znanja sa te lokacije ne bi otišla u zaborav.

Komentarišite

Email neće biti javno objavljen. Sajt je neobavezan podatak, svi ostali su obavezni.