Дмитрий Кайдаш
29.10.2019
304

Настройка Fail2Ban

При наличии и использовании сервера или компьютера имеющего необходимость быть подключённым к интернету, ввиду своего функционала, необходимо побеспокоиться о безопасности. В частности правильно настроенный файерволл может преградить путь злоумышленнику, но не спасёт от атаки перебором или, как ещё называет «bruteforce». Поскольку было бы проблематично самостоятельно мониторить попытки подключения по логам было разработано и внедрено приложение […]

При наличии и использовании сервера или компьютера имеющего необходимость быть подключённым к интернету, ввиду своего функционала, необходимо побеспокоиться о безопасности. В частности правильно настроенный файерволл может преградить путь злоумышленнику, но не спасёт от атаки перебором или, как ещё называет «bruteforce». Поскольку было бы проблематично самостоятельно мониторить попытки подключения по логам было разработано и внедрено приложение fail2ban.

Его основной задачей является просматривание событий лога и временная блокировка источника большого количества неверных попыток авторизации. После чего передаются соответствующие команды для перестраивания цепочек iptables.

  1. Проверка наличия \ Установка

Приложение довольно распространено и зачастую уже входит в состав операционной системы. Проверить наличие можно несколькими способами и вот некоторые из них:

# service fail2ban status
Здесь и далее будут использоваться команды для CentOS <v7, для него следует использовать systemctl

Проверка запущенного сервиса. Самый очевидный признак наличия и работы приложения.

Проверка запущенного сервиса
Проверка запущенного сервиса
# ls -l /etc/fail2ban

Проверка наличия файлов конфигурации и «белого листа»

Проверка файлов
Проверка файлов

Если у Вас результат команд примерно, как на скринах выше – значит приложение уже установлено и запущено. Если это не так проделаем несколько шагов по его установке.

# sudo yum install epel-release -y

Как уже говорилось ранее, программа часто используется и поэтому включена в официальный репозиторий EPEL. Для установки сначала добавляем репозиторий.

Подключение репозитория EPEL
Подключение репозитория EPEL
# sudo yum install fail2ban –y
Установка fail2ban
Установка fail2ban

После установки будет доступен базовый функционал и останется лишь запустить демон:

# sudo service fail2ban start
Запуск приложения
Запуск приложения

И не забыть добавить его в автозапуск:

Добавление в автозагрузку
Добавление в автозагрузку

Если Вы видите то же что и на скриншотах установка завершена успешно далее следует заняться более детальной настройкой.

2. Настройка

Выше мы уже заглядывали в директорию с конфигурационными файлами приложения. Сейчас же рассмотрим их значение и применение подробнее. Основные из них:

  • fail2ban.conf – основные конфигурации
  • jail.conf – настройка запрещающих событий
  • jail.d – папка для настройки запрещающих событий
  • action.d – файлы в которых хранятся обработчики запрещённых событий
  • filter.d – файлы в которых задаются алгоритмы парсинга логов на предмет попыток несанкционированного доступа

Менять параметры в существующих файлах бессмысленно и бесполезно. Вместо этого в нужной директории создаётся клон файла, который вы хотели бы отредактировать, но с заменой расширения на *.local. Например, самый распространённый вариант:

# cp /etc/jail.conf /etc/jail.local

Рассмотрим содержимое этого файла. Он делится на блоки в зависимости от назначения и правил обработки. В секции [DEFAULT] содержатся настройки наследуемые всеми остальными, после него создаются отдельные. В большинстве случаев достаточно настроек по умолчанию, но если есть необходимость можно вмешаться и повысить безопасность или наоборот исключить отдельные ip или целые подсети из сканирования.

Теперь разберём параметры внутри каждого блока:

Ignoreip – задаёт список ip-адресов, которые будут навсегда исключены из сканирования и даже при n-ом обращении с неверными данными авторизации – ничего не будет производиться. Удобно сюда добавить локальную и административную подсеть, а так же удалённых сотрудников обслуживания.

Подсети и адреса записываются в строку через пробел, никаких посторонних символов быть не должно

Bantime – как можно догадаться из названия, этот параметр указывает на какое время будет блокирован источник неправильных обращений.

Значение указывается в секундах

Maxretry – количество попыток прежде чем будут предприняты меры ограничения доступа
Findtime – время которое выделено на поиск и расчет значения «Maxretry»

Рассмотрим пример:

Основные параметры
Основные параметры

Пропустим секцию [DEFAUL] и разберём настройки [asterisk-auth]. Согласно параметрам:

  1. правило включено
  2. поиск осуществляется за последний час
  3. бан будет выдан на 20 минут
  4. после 5 неверных попыток авторизации

Вот таким способом можно задать условия блокировки. Так же существует ряд других параметров:

Banaction – этот параметр хранит в себе файлы конфигурации способа блокировки, который будет применён в этой секции. Как правило указывает на файл в /etc/fail2ban/action.d/. По умолчанию осуществляется правка цепочек iptables.

Action – этот параметр определяет дополнительные действия производимые системой после предыдущего действия. Здесь требуется указать: имя, порт, протокол передачи, назначение и сценарий.

3. Уведомления об активации на почту

При необходимости уведомлять администратора о попытках взлома – можно настроить отправку сообщений на его почту.

Для этого на сервере должен быть установлен и настроен почтовый сервис и должна быть возможность отправки сообщений на внешние адреса.

Для настройки есть два параметра:

Destmail – согласно названию, здесь указывается получатель сообщения. По умолчанию это: root@localhost
Mta – почтовый агент через который будет осуществляться передача. Если Вы используете SendMail, значение менять не нужно.

Для проверки отправки почты можно просмотреть файл:

# nano /var/mail/mail

4. Настройка привязки к приложениям

После блока [DEFAULT] будут идти отдельные вида [название_приложения] в них можно использовать особые аргументы:

Filter – сообщает приложению файл конфигурации с описанием предмета поиска в логе. Как правило хранится в директории /etc/fail2ban/filter.d
Logpath – указывает путь к анализируемым файлам логов.

В каждой наследуемой секции можно переопределять параметры заданные по умолчанию. Здесь есть заранее прописанные правила для ssh,http,ftp и прочих средств доступа. Для их активации нужно заменить значение параметра «enabled = true».

Для примера перепишем секцию защищающую доступ по SSH:

Кастомные параметры
Кастомные параметры

5. Работа через iptables

Обычно донастраивать iptables нет необходимости, но всё же остановимся на нём, чтобы понимать, как осуществляется взаимодействие с приложением fail2ban. Рассмотрим файл /etc/fail2ban/action.d/iptables-multiport.conf

В нём описываются действия, которые будут предприняты после того, как система определит злоумышленника и перейдёт от анализа к «обороне».

Первое действие:

actionstart = <iptables> -N f2b-<name>
              <iptables> -A f2b-<name> -j <returntype>
              <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>

Т.е. весь входящий трафик с целевого порта обрабатывается цепочкой f2b-имя_службы. В данный момент весть трафик заворачивается обратно в вызывающую цепочку без каких-либо изменений. Но теперь мы можем задать дополнительные условия.

Второе:

actionstop = <iptables> -D <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
             <iptables> -F f2b-<name>
             <iptables> -X f2b-<name>

Служит напротив – для удаления цепочек. Теперь, когда нужно будет прерывать попытки доступа с некоторого ip приложение выполнит команду:

actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>

Здесь мы отбрасываем все пакеты с конкретного ip, не пытаясь их анализировать. После того как истёк период блокировки правило отменяется через команду:

actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>

После того как все действия произведены проверим корректность настроек выполнив команду:

# sudo fail2ban-client –d

И если всё прошло без уведомлений об ошибках выполним перезапуск сервиса:

# sudo service fail2ban-client restart
Перезапуск fail2ban
Перезапуск fail2ban

Для тестирования можно несколько раз попробовать зайти на целевой сервис с неправильными данными авторизации. Когда Вы достигните настроенного ограничения, сервер перестанет даже выдавать запрос на авторизацию.

Наличие или отсутствие блокирующих цепочек можно просмотреть через команду:

Iptables –L –nv

В самом низу будет ряд цепочек:

Цепочки с блокировкой
Цепочки с блокировкой

Если необходимо удалить цепочку или правило: просто воспользуйтесь управлением iptables через консоль.

 
avatar
  Подписаться  
Уведомление о

Остались вопросы?

Я - Кондрашин Игорь, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование

ближайшие курсы

ближайшие Вебинары

ONLINE

Why Choose HUGE?

Unlimited pre-designed elements

Each and every design element is designed for retina ready display on all kind of devices

User friendly interface and design

Each and every design element is designed for retina ready display on all kind of devices

100% editable layered PSD files

Each and every design element is designed for retina ready display on all kind of devices

Created using shape layers

Each and every design element is designed for retina ready display on all kind of devices