Supongamos que tengo un archivo .txt que contiene una lista de direcciones IP que me gustaría prohibir durante un período de tiempo (es decir, un archivo de lista negra de algún tipo). Sé cómo hacer esto en Apache (por ejemplo), simplemente incluyendo el archivo .txt en apache.conf y luego reiniciando correctamente.
Me preguntaba si lo mismo era posible usando fail2ban, donde de alguna manera consigo que fail2ban 'lea' periódicamente la lista de direcciones IP que me gustaría prohibir, haciendo uso de la maquinaria de fail2ban para comunicarme con iptables.
Respuesta1
Fail2ban sirve para gestionar una lista de direcciones a prohibirautomáticamente.
Todo se basa en la suposición de que si hay varios "errores" consecutivos delmismodirección remota, estos "errores" no son accidentales y la dirección es maliciosa e intenta hacer algo desagradable (por ejemplo, contraseñas de fuerza bruta, escaneo en busca de vulnerabilidades, etc.). Los errores se ponen entre comillas porque depende de una definición: lo que se considera "un error" se define porfiltrosen fail2ban. Se espera que una aplicaciónregistrosalgoen tiempo real(casi) cuando descubre un problema en una comunicación, y además ese mensaje de registro contiene una dirección del control remoto con el que se estaba comunicando.
Este tipo de detección no está exenta de errores. El usuario legítimo puede recordar mal su contraseña e intentar adivinarla varias veces al iniciar sesión; La forma en que aparecen estos intentos en los registros no difiere de la fuerza bruta genuina. Si insistieran demasiado y se apresuraran, se les prohibiría, y eso es un falso positivo real.
Las IP remotas también suelen ser solo computadoras infectadas y, después de un tiempo, aparecerán bajo otra IP; la IP anterior que ocupaban puede ser tomada por algún otro actor inocente, y ese sistema se verá prohibido incorrectamente. Los sistemas infectados y vulnerables a veces también se curan y reparan, por lo que ya no son peligrosos.
Para tener en cuenta todo esto, las prohibiciones impuestas por fail2ban sonno permanente, y eliminará automáticamente la prohibición después de un tiempo.
Todo es diferente cuando tienes una priorilista de direcciones para prohibir. En primer lugar, normalmente estas direcciones no son direcciones, sinobloques de red(un conjunto de direcciones adyacentes). En segundo lugar, las entradas de esa lista sonconocido por no caducar; asumimos que las entidades que operan estos bloques de redson maliciosos. Y, por último, lo más importante:fail2ban es terrible a la hora de gestionar grandes listas de baneos. Sólo es bueno y utilizable porque es automático;no intentes usarlo con miles de direcciones. Simplemente iniciarlo/detenerlo con miles de direcciones en una base de datos resultará en un tiempo de procesamiento sustancial (decenas de minutos).
Utilice su firewall directamente en los casos en que tenga una lista de direcciones. No intentes gestionarlo con fail2ban. Más bien, si descubre algunas direcciones (o conjuntos cercanos de direcciones, como pequeñas subredes) que se prohíben y se quitan automáticamente con frecuencia, puede ser ventajoso investigarlas y, probablemente, prohibirlas manualmente para que fail2ban no vuelva a tratar con ellas nunca más. .