Estou executando uma série de servidores web e já tenho um bom conjunto de regras de firewall configurado, mas estou procurando algo para monitorar o tráfego e adicionar regras conforme necessário. Tenho denyhosts monitorando logins SSH incorretos, e isso é ótimo - mas adoraria algo que pudesse aplicar a toda a máquina que ajudasse a prevenir ataques de força bruta contra meus aplicativos da web e adicionar regras para bloquear IPs que exibem evidências de ataques comuns.
Eu vi o APF, mas parece que ele não é atualizado há vários anos. Ainda está em uso e seria bom para isso? Além disso, que outras soluções existem que manipulariam o iptables para se comportar de alguma forma adaptativa?
Estou executando o Ubuntu Linux, se isso ajudar.
Responder1
Eu sou um grande fã do fail2ban
http://www.fail2ban.org/wiki/index.php/Main_Page
Aqui está uma lista dos principais recursos disponíveis no Fail2ban.
Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
Responder2
Aprender sobreipset, dos criadores de iptables.
Depois, aprenda como usar o -j SETalvo; de preferência em combinação com -m recent -m limite/ou -m hashlimit.
Boa sorte, jovem Jedi! :-)
(Como você está usando o Ubuntu, vocêdeveinstale o ipset da fonte; veja meu blog para o COMO FAZER:http://pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu)
Responder3
Responder4
É um pouco exagerado, mas há um ótimo projeto chamado OSSEC, ele pode monitorar os logs do servidor e, se encontrar algo suspeito (tem uma lista de regras e você pode escrever a sua própria), pode bloquear o IP remoto.
Você não pode chamá-lo de daemon iptables, mas é muito mais poderoso que o denyhost.