So richten Sie ein IPS ein, um vor verschiedenen Angriffen zu schützen

Das IPS- oder Intrusion Prevention System ist eine Technologie, die in der Netzwerksicherheit verwendet wird, um den Netzwerkverkehr zu untersuchen und unterschiedliche Angriffe zu verhindern, indem bösartige Eingaben erfasst werden. Neben der Erkennung von böswilligen Inputs wie das Intrusion -Erkennungssystem verhindert es auch das Netzwerk von böswilligen Angriffen. Es kann das Netzwerk von Brute-Force, DOS (Denial of Service), DDOs (Distributed Denial of Service), Exploits, Würmern, Viren und anderen gemeinsamen Angriffen verhindern. IPs werden direkt hinter der Firewall platziert und können Alarme senden, böswillige Pakete fallen lassen und beleidigende IP -Adressen blockieren. In diesem Tutorial werden wir Fail2ban, ein Intrusion Prevention Softwarepaket, verwenden, um eine Sicherheitsschicht gegen verschiedene Brute -Force -Angriffe hinzuzufügen.

Wie fail2ban funktioniert

Fail2ban liest die Protokolldateien (e.G. /var/log/apache/error_log) und erhält die beleidigenden IPs, die zu viele fehlgeschlagene Passwörter versuchen oder nach Exploits suchen. Grundsätzlich aktualisiert Fail2ban Firewall -Regeln, um verschiedene IPs auf dem Server zu blockieren. Fail2ban stellt auch Filter zur Verfügung, die wir für einen bestimmten Dienst verwenden können (e.G., Apache, SSH usw.).

Installieren von fail2ban

Fail2ban wird nicht vorinstalliert auf Ubuntu. Bevor wir es verwenden, müssen wir es installieren.

Ubuntu@Ubuntu: ~ $ sudo apt -Get -Update -y
Ubuntu@Ubuntu: ~ $ sudo apt-Get Install fail2ban

Starten und aktivieren Sie den Fail2ban -Dienst nach der Installation von Fail2ban mithilfe der Befehlszeile.

Ubuntu@Ubuntu: ~ $ sudo systemCtl start fail2ban
Ubuntu@Ubuntu: ~ $ sudo systemCtl aktivieren fail2ban

Überprüfen Sie nun den Status des Fail2ban -Dienstes, um zu bestätigen, ob er begonnen hat oder nicht.

Ubuntu@Ubuntu: ~ $ sudo systemctl Status fail2ban

Konfigurieren von fail2ban für ssh

Wir können Fail2ban konfigurieren, indem wir/etc/fail2ban/jail geändert werden.Conf -Datei. Nehmen Sie vor dem Ändern eine Sicherung dieser Datei ein.

Ubuntu@Ubuntu: ~ $ sudo cp/etc/fail2ban/jail.conf/etc/fail2ban/jail.lokal

Jetzt werden wir Fail2ban konfigurieren, um den SSHD -Service von böswilligen Eingaben zu verhindern. Öffnen/etc/fail2ban/Gefängnis.Lokale Datei in Ihrem Lieblingsredakteur.

Ubuntu@Ubuntu: ~ $ sudo nano/etc/fail2ban/jail.lokal

Gehe zum [Standard] Abschnitt und Eingeben von Konfigurationsparametern unter [Standard] Abschnitt.

[STANDARD]
Ignoreip = 127.0.0.1/8 192.168.18.10/32
Bantime = 300
maxretry = 2
FindTime = 600

Ignoreip ist die Liste der CIDR -Maske, IP -Adresse oder DNS -Host, die durch einen Space -Charakter getrennt ist. Fügen Sie Ihre vertrauenswürdige IPs zu dieser Liste hinzu, und diese IPs werden whitelistet und werden nicht von fail2ban blockiert, selbst wenn sie einen Brute -Force -Angriff auf dem Server ausführen.

Bantime Ist die Zeit, die eine IP nach einer bestimmten Menge fehlgeschlagener Versuche zum Server gemacht wird, blockiert.

Maxretry ist die Anzahl der maximal fehlgeschlagen.

finde Zeit ist die Zeit, in der ein Host macht, wenn ein Host macht Maxretry Fehlgeschlagene Versuche, es wird blockiert.

Nach der Konfiguration der oben genannten Parameter konfigurieren wir nun den Dienst, für den die oben genannten Regeln gelten werden. Standardmäßig verfügt Fail2ban über vordefinierte Filter für verschiedene Dienste, sodass wir keine spezifischen Einträge für Dienste eingeben müssen. Wir aktivieren oder deaktivieren verschiedene Dienste in der Konfigurationsdatei nur. Öffnen/etc/fail2ban/Gefängnis.Lokale Datei in Ihrem Lieblingsredakteur.

Ubuntu@Ubuntu: ~ $ sudo nano/etc/fail2ban/jail.lokal

Finden Sie die [sshd] Abschnitt in der Datei und geben Sie die folgenden Parameter in den Abschnitt ein.

[SSHD]
aktivieren = true
port = ssh
filter = sshd
logpath =/var/log/auth.Protokoll
maxretry = 3

ermöglicht definiert, ob dieser Dienst durch fail2ban geschützt wird oder nicht. Wenn aktiviert ist, wird der Dienst geschützt. Ansonsten wird es nicht geschützt.

Hafen Definiert Serviceport.

Filter Bezieht sich auf die Konfigurationsdatei fail2ban wird verwendet. Standardmäßig wird/etc/fail2ban/filter verwendet.D/SSHD.Conf -Datei für den SSH -Dienst.

Logwegen Definiert den Pfad zu Protokollen, Fail2ban wird den Service vor verschiedenen Angriffen überwachen. Für den SSH -Dienst finden Sie Authentifizierungsprotokolle unter/var/log/auth.Protokoll, also überwacht Fail2ban diese Protokolldatei und aktualisiert die Firewall, indem er fehlgeschlagene Anmeldeversuche erfasst.

Maxretry Definiert die Anzahl der fehlgeschlagenen Anmeldeversuche, bevor sie von der Fail2ban blockiert werden.

Starten Sie den Dienst nach dem Anwenden der oben genannten Konfiguration für Fail2ban, um Änderungen zu speichern.

Ubuntu@ubuntu: ~ $ sudo systemCtl restart fail2ban.Service
Ubuntu@Ubuntu: ~ $ sudo systemctl Status fail2ban.Service

Tests fail2ban

Wir haben Fail2ban konfiguriert, um unser System vor Brute -Force -Angriffen auf den SSH -Dienst zu schützen. Jetzt werden wir fehlgeschlagene Anmeldeversuche in unserem System von einem anderen System unternehmen, um zu überprüfen. Nachdem wir jetzt einige fehlgeschlagene Anmeldeversuche gemacht haben, werden wir Fail2ban -Protokolle überprüfen.

Ubuntu@ubuntu: ~ $ cat/var/log/fail2ban.Protokoll

Wir können sehen, dass nach fehlgeschlagenen Anmeldeversuchen die IP von fail2ban blockiert wurde.

Wir können eine Liste aller Dienste erhalten, für die Fail2ban mithilfe des folgenden Befehls aktiviert ist.

Ubuntu@Ubuntu: ~ $ sudo fail2ban-Client Status

Die obige Abbildung zeigt, dass wir Fail2ban nur für den SSHD -Dienst aktiviert haben. Wir können weitere Informationen über den SSHD -Dienst erhalten, indem wir den Dienstnamen im obigen Befehl angeben.

Ubuntu@Ubuntu: ~ $ sudo fail2ban-Client Status SSHD

Fail2ban entlüftet die verbotene IP -Adresse nach Bantime automatisch, aber wir können jede IP jederzeit mit der Befehlszeile entfernen. Dies gibt mehr Kontrolle über Fail2ban. Verwenden Sie den folgenden Befehl, um die IP -Adresse zu entbinden.

Ubuntu@Ubuntu: ~ $ sudo fail2ban-Client Set SSHD Unbranip 192.168.43.35

Wenn Sie versuchen, eine IP -Adresse, die nicht von fail2ban blockiert wird.

Ubuntu@Ubuntu: ~ $ sudo fail2ban-Client Set SSHD Unbranip 192.168.43.35

Abschluss

Für einen Systemadministrator oder einen Sicherheitsingenieur ist es eine große Herausforderung, die Sicherheit der Server aufrechtzuerhalten. Wenn Ihr Server durch das Passwort geschützt wird, nicht durch öffentliche und private Schlüsselpaare, ist Ihr Server anfälliger für Brute Force -Angreifer. Sie können in Ihr System einsteigen, indem sie verschiedene Passwortkombinationen anwenden. Fail2ban ist ein Tool, mit dem Angreifer verschiedene Arten von Angriffen starten können, einschließlich Brute -Force -Angriffen und DDOS -Angriffen auf Ihrem Server. In diesem Tutorial haben wir besprochen, wie wir Fail2ban verwenden könnten, um unseren Server vor verschiedenen Angriffen zu schützen. Wir können auch Fail2ban verwenden, um andere Dienste wie Apache, Nginx usw. zu schützen.