fail2ban
fail2ban - Intrusion Prevention System
Beschreibung
Framework zur Vorbeugung gegen Einbrüche
- Betriebssysteme
- Programmiersprache
- Lizenz
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang zum System verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
IP-Adressen
- die in einem vom Administrator angesetzten Zeitrahmen
- beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
- oder andere gefährliche
- oder sinnlose Aktionen ausführen
Normalerweise ist fail2ban so konfiguriert
- dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
- um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
- Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.denyzu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann
Filter
- Werden durch reguläre Ausdrücke definiert
- die gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren
- Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert