Proteção utilizando fail2ban contra ataques do tipo

O fail2ban pode monitorar a tentativa de login nos serviços ssh, pam, xinetd, apache, vsftpd, proftpd, wuftpd, postfix, couriersmtp, courierauth, sasl e named, e em uma ação pró-ativa bloquear o possível ataque, adicionando uma regra no firewall.

[ Hits: 77.101 ]

Por: Ricardo Brito do Nascimento em 30/08/2011 | Blog: http://brito.blog.incolume.com.br


Introdução e Instalação do fail2ban



Introdução

O aplicativo fail2ban, é um agente que monitora os logs, e verifica a quantidade de tentativas de conexão sem sucesso, bloqueando o IP suspeito, após determinado número de insucessos.

O fail2ban pode monitorar a tentativa de login nos serviços ssh, pam, xinetd, apache, vsftpd, proftpd, wuftpd, postfix, couriersmtp, courierauth, sasl e named, e em uma ação pró-ativa bloquear o possível ataque, adicionando uma regra no firewall.

O fail2ban é eficaz em parar ataques de força bruta (brute force), que são comum a hosts conectados à Internet, de maneira elegante, confiável e funcional, sem causar prejuízos aos usuários autênticos dos sistemas e serviços oferecidos.

Este aplicativo pode ser encontrado em sua página oficial http://www.fail2ban.org, ele é desenvolvido na linguagem python, que o torna portável para praticamente todo sistema operacional.

Em seu site oficial, na seção de downloads (http://www.fail2ban.org/wiki/index.php/Downloads), encontra-se a lista de distribuições que já possuem pacotes para seus fontes. No momento em que este artigo foi escrito, as distribuições eram: Gentoo, Debian, Ubuntu, Fedora, Red Hat/CentOS, Gral Linux, Ipcop, Mandriva, SUSE, openSUSE, ArchLinux, Slackware, FreeBSD e Mac OS X.

Instalação do fail2ban

Requisitos: python-2.3 ou superior (http://www.python.org).

Requisitos Opcionais: gamin-0.0.21 ou superior (http://www.gnome.org/~veillard/gamin).

Instalação pelos fontes:

wget http://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2
tar xvfj fail2ban-0.8.4.tar.bz2 -C /tmp
cd /tmp/fail2ban-0.8.4
# python setup.py install

Instalação em Debian-like:

# aptitude install fail2ban

Instalação em RedHat-like:

1º baixe o rpm adequando para versão Enterprise Linux(EL) utilizada: 2º Considerando Centos 5.5, proceda com o comando abaixo para configurar o repositório EPEL:

wget http://mirrors.ucr.ac.cr/epel/5/i386/epel-release-5-3.noarch.rpm
# rpm -ivh epel-release-5-3.noarch.rpm

3º e ultimo passo, instalar o fail2ban:

# yum install fail2ban
    Próxima página

Páginas do artigo
   1. Introdução e Instalação do fail2ban
   2. Configuração para fail2ban
   3. Exemplos e Referências
Outros artigos deste autor

Encapsulamento de Apache com chroot

Formatando exibição de datas no Linux

Configurando proxy no shell

Clonagem de Hardware Hotline em Software Livre

Configurando Subversion

Leitura recomendada

Segurança na Internet

Estrutura do Iptables

Entenda o que é Hardening

Recon and Scan with Metasploit

Prey Project - Localizando seu notebook roubado

  
Comentários
[1] Comentário enviado por removido em 30/08/2011 - 15:01h

Muito bom !

[2] Comentário enviado por rbn_jesus em 19/10/2011 - 10:04h

obrigado Thalysson!

[3] Comentário enviado por alex.oliver em 28/09/2012 - 09:14h

Olá Ricardo!

Sensacional o artigo, estou iniciando um trabalho com essa ferramenta, e tenho uma dúvida... na opção "enable = false", esta estaria ativando a monitoração desejada ou estaria stopando-a?
Fiquei em dúvida, porque estou usando o arquivo jail.* como a extensão .local, teria algo a ver ou viajei muito?!

Abraços!

[4] Comentário enviado por sylviomgs em 28/06/2016 - 13:31h

Boa tarde, Ótimo artigo, gostaria de saber onde visualizo a blacklist q o fail2ban cria...

[5] Comentário enviado por davidfagundes em 08/12/2017 - 15:16h

muito bom o artigo, tenho uma pergunta, consigo bloquear ao invés do IP o MAC ??


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts