Wie ist das Blockieren bestimmter Ports mit fail2ban im Vergleich zum Blockieren aller Ports?

Wie ist das Blockieren bestimmter Ports mit fail2ban im Vergleich zum Blockieren aller Ports?

Ich richte fail2ban für meine EC2-Instanzen ein, auf denen jeweils unterschiedliche Dienste ausgeführt werden. Daher konfiguriere ich die Jails speziell für jeden Dienst. Ich habe zwei Fragen (auf die ich anderswo keine Antwort finden konnte):

  1. Wenn eine IP von fail2ban wegen fehlgeschlagener Authentifizierung an einem Port blockiert wird, kann dieser Benutzer dann immer noch über andere offene Ports darauf zugreifen?
  2. Wie ist das Blockieren bestimmter Ports im Vergleich zum Blockieren aller Ports mit der hier erwähnten Konfiguration? Wäre es nicht sicherer, alle offenen Ports zu blockieren, da ich schließlich nicht möchte, dass der Hacker eindringt?

Antwort1

(Vorausgesetzt, das Betriebssystem ist Linux)

Fehler2Banist ein gut gemachtes Werkzeug, gesegnet mit einem hohen Maß an Konfiguration.

Unter Linux Ubuntu befindet sich die Konfiguration in/etc/fail2ban

Frage 1

jail.confSofern Sie die Konfiguration nicht ändern, werden nur die für den jeweiligen Dienst genannten Ports blockiert.

Frage 2

Sie können auch alle Ports blockieren. Dies hängt von der gewünschten Sicherheitsstufe ab, aber das Blockieren aller Ports kann Nachteile haben.

Persönlich bevorzuge ich es, nur den Port zu blockieren, der missbraucht wurde. Denn

  • Wenn auch andere Ports missbraucht werden (und wenn sie in deklariert sind jail.conf), werden sie ebenfalls blockiert
  • manche IP-Adressen werden von einem ganzen Unternehmen oder von vielen Personen gemeinsam genutzt. Durch die Sperrung aller Ports für den Missbrauch sshverhindern Sie http/sbeispielsweise , dass jeder mit dieser Adresse auf die Adresse zugreifen kann.
  • Auch eine Totalsperrung kann für Sie von Belang sein. Sie machen beispielsweise bei der Nutzung ein paar Passwortfehler sshund schon ist ein anderer Port, der einen anderen Zugang, beispielsweise vom Provider, erlauben würde, nicht mehr erreichbar.

Um weitere oder alle Ports zu blockieren, können Sie die jail.confDatei ändern.

Einige der Standardattribute sind (in [DEFAULT]):

# "bantime" is the number of seconds that a host is banned.
bantime  = 10m
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 10m
# "maxretry" is the number of failures before a host get banned.
maxretry = 5

# Ports to be banned (Usually should be overridden in a particular jail)
port = 0:65535

d. h. alle Ports.

Für [sshd]zum Beispiel (und alle Dienste) portwird neu definiert

[sshd]
port    = ssh

Sie könnten die Zeile einfach auskommentieren, portum zu den Standardeinstellungen zurückzukehren, aber ich würde einen Kommentar und eine neue Portzeile hinzufügen, um die Wartung zu erleichtern (andere Leute / Sie in 3 Jahren).

[sshd]
# 25 Aug 2020 Rohit, block all ports
#port    = ssh
port = 0:65535

Ändern der Standardeinstellung

Sie sehen im action.dVerzeichnis die Liste der möglichen Aktionen. Die Standardeinstellung ist jail.conf,

banaction = iptables-multiport

das kann auch geändert werden in

banaction = iptables-allports

das würde alle Dienste betreffen, ohne dass es zu einer Neudefinition kommt banaction.

Fail2ban neu starten

Starten Sie dann den Dienst neu, für systemd

systemctl restart fail2ban.service

oder

service fail2ban restart

(Zu Ihrer Information: Das filter.dVerzeichnis listet für jeden Dienst die Art und Weise auf,Fehler2Banerkennt einen Einbruchsversuch)

Sehen Sie sich auch die Kommentare unten an, sie können wertvolle Informationen enthalten.

verwandte Informationen