Suponha que eu tenha um arquivo .txt contendo uma lista de endereços IP que gostaria de banir por algum tempo (ou seja, algum tipo de arquivo de lista negra). Eu sei como fazer isso no Apache (por exemplo) - simplesmente incluindo o arquivo .txt no apache.conf e, em seguida, reiniciando normalmente.
Eu queria saber se a mesma coisa era possível usando o fail2ban, onde de alguma forma eu faço com que o fail2ban 'leia' periodicamente a lista de endereços IP que eu gostaria de banir, fazendo uso do mecanismo fail2ban para se comunicar com o iptables?
Responder1
Fail2ban serve para gerenciar uma lista de endereços a serem banidosautomaticamente.
Tudo se baseia na suposição de que, se houver vários "erros" consecutivos domesmoendereço remoto, esses "erros" não são acidentais e o endereço é malicioso e está tentando fazer algo desagradável (por exemplo, senhas de força bruta, verificação de vulnerabilidades, etc.). Os erros são colocados entre aspas porque cabe a uma definição - o que considerar "um erro" é definido porfiltrosem fail2ban. Ele espera que uma aplicaçãoHistóricoalgoem tempo real(quase) quando descobre um problema em uma comunicação, e também aquela mensagem de log contém um endereço do remoto com o qual estava se comunicando.
Esse tipo de detecção não é isento de erros. O usuário legítimo pode lembrar incorretamente sua senha e tentar adivinhar várias vezes ao fazer login; a forma como essas tentativas aparecem nos registros não difere da força bruta genuína. Se eles fossem muito insistentes e apressados, seriam banidos, e isso é um verdadeiro falso positivo.
Os IPs remotos também costumam ser apenas computadores infectados e, depois de algum tempo, aparecerão em outro IP; o IP anterior que eles ocupavam pode ser obtido por algum outro ator inocente, e esse sistema será banido incorretamente. Sistemas infectados e vulneráveis às vezes também são curados e consertados, de modo que não são mais perigosos.
Para explicar tudo isso, os banimentos impostos pelo fail2ban sãonão permanente, e removerá automaticamente o banimento após algum tempo.
É tudo diferente quando você tem uma priorilista de endereços a serem banidos. Em primeiro lugar, normalmente estes endereços não são endereços, masblocos de rede(um conjunto de endereços adjacentes). Em segundo lugar, as entradas dessa lista sãoconhecido por não expirar; assumimos que as entidades que operam esses blocos de redesão maliciosos. E, por fim, o mais importante:fail2ban é péssimo no gerenciamento de grandes listas de banimentos. Só é bom e utilizável porque é automático;não tente usá-lo com milhares de endereços. Apenas iniciar/interromper com milhares de endereços em um banco de dados resultará em um tempo de processamento substancial (dezenas de minutos).
Use seu firewall diretamente para casos em que você tenha uma lista de endereços. Não tente gerenciá-lo com fail2ban. Em vez disso, se você descobrir alguns endereços (ou conjuntos próximos de endereços, como pequenas sub-redes) que são banidos e desbanidos automaticamente com frequência, pode ser vantajoso investigá-los e, provavelmente, bani-los manualmente para que o fail2ban nunca mais lide com eles novamente. .