0

جلوگیری از حملات Password Guesting توسط Fail2Ban

معرفی

امروزه حملات سایبری به زیر یک دقیقه رسیده است !! این به معنا است که وقتی شما یک سرور, روتر را به شبکه اینترنت وصل میکنید یک دقیقه طول میکشد که انواع اقسام ربات های اسکنر شروع به attack کردن به سمت سرور شما هستند .

حالا که ریسک نداشتن  امنیت نسبی احساس کردیم نیاز به  یادگیری مکانیزمی داریم که جلو حمله های Dictionary Attack  را بگیریم ,  برای اینکار میتونیم از سرویس FAIL2BAN  استفاده کنیم که  وظیفه جلوگیری این نوع حملات را دارد

 

FAIL2BAN چطور کار میکنه ؟؟

fail2ban با استفاده از مکانیزم خیلی ساده ای جلوی این حمله ها را میگیرد ,  به صورتی که در صورتی که شخصی N بار(به طور مثال ۳ بار)   موفق به احرازهویت نشد آی پی اون شخص به مدت N Time (به طور مثال ۱۲ ساعت) بلاک خواهد شد

fail2ban سرویسی است که با پایتون توسعه یافته است و توسط iptables  آی پی هکر را بلاک میکند

پیشنیاز ها :

 

Filter  :  مشخص کننده ی ارور لاگین است که توسط regex  شناسایی میشود و در فایل /etc/fail2ban/filter.d       میباشد

actionشامل کامند هایی که باید در  iptables  اجرا شوند میشود

Jail  :    شامل ترکیبی از یک فیلتر (ssh) و چندین action  است

maxretry  :  میزان دفعاتی که میتوان یوزر پسورد را اشتباه وارد کردرا مشخص میکند  .

bantime  :  مدت زمان بلاک کردن آی پی هکر را مشخص میکند .(bantime به ثانیه است)

 

راه اندازی

گام اول : نصب  سرویس   Fail2ban

Debian:    apt-get  install fail2ban

CENTOS :   yum  install fail2ban

گام اول : فعال سازی  Fail2ban  برای سرویس  SSH

1-    به فایل   etc/fail2ban/jail.d/jail.conf/ میرویم و ssh  را پیدا میکنیم و مقدار enabled  را مساوی true  قرار میدهیم

2-  برای تعیین حداکثر دفعات لاگین اشتباه مقدار maxretry  را مساوی تعداد دفعات مورد نظر خود قرار بدهید

3- مقدار زمان  Bantime را مششخص کنید (bantime به ثانیه است)

4-  سرویس  Fail2ban  رو ری استارت کنید

service fail2ban restart

عیب یابی

برای Tshoot  سرویس fail2ban  از دو دستور زیر میتوانید استفاده کنید

cat /var/log/fail2ban.log

iptables -L -n

blank
blank

منبع : گیک گپ

امتیاز ما
برای امتیاز به این پست کلیک کنید
[کل: 1 میانگین: 5]
ارسال دیدگاه