Estou executando uma série de servidores web e já tenho um bom conjunto de regras de firewall configurado, mas estou procurando algo para monitorar o tráfego e adicionar regras conforme necessário. Tenho denyhosts monitorando logins SSH incorretos, e isso é ótimo - mas adoraria algo que pudesse aplicar a toda a máquina que ajudasse a prevenir ataques de força bruta contra meus aplicativos da web e adicionar regras para bloquear IPs que exibem evidências de ataques comuns.
Eu vi o APF, mas parece que ele não é atualizado há vários anos. Ainda está em uso e seria bom para isso? Além disso, que outras soluções existem que manipulariam o iptables para se comportar de alguma forma adaptativa?
Estou executando o Ubuntu Linux, se isso ajudar.
Responder1
Eu sou um grande fã do fail2ban
http://www.fail2ban.org/wiki/index.php/Main_Page
Aqui está uma lista dos principais recursos disponíveis no Fail2ban.
Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
Responder2
Aprender sobreipset
, dos criadores de iptables
.
Depois, aprenda como usar o -j SET
alvo; de preferência em combinação com -m recent -m limit
e/ou -m hashlimit
.
Boa sorte, jovem Jedi! :-)
(Como você está usando o Ubuntu, vocêdeveinstale o ipset da fonte; veja meu blog para o COMO FAZER:http://pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu)
Responder3
Responder4
É um pouco exagerado, mas há um ótimo projeto chamado OSSEC, ele pode monitorar os logs do servidor e, se encontrar algo suspeito (tem uma lista de regras e você pode escrever a sua própria), pode bloquear o IP remoto.
Você não pode chamá-lo de daemon iptables, mas é muito mais poderoso que o denyhost.