Qual é a duração ideal da proibição de um ataque de força bruta?

4

Eu uso o fail2ban para evitar ataques de força bruta em meus servidores de produção. O Fail2ban bane um ip após 5 falhas de autenticação e o desativa após 1 hora com minha própria configuração. Gostaria de saber qual é a duração ideal da proibição ou preciso realmente desatá-la novamente? Está banindo um ip permanentemente a melhor solução?

    
por efesaid 21.07.2014 / 13:40

2 respostas

5

Não há regra geral para o tempo ideal de uma proibição, depende de muitos fatores, incluindo

  • O tipo de servidor / serviço
  • O público-alvo
  • O tipo de ataque
  • e o ataque / atacante específico.

Isso também é verdade para decidir se você precisa desbanir de todos os modos - se muito poucos endereços IP puderem se conectar legitimamente aos seus serviços, banir os atacantes (semi) permanentemente pode não ser uma má ideia, mas em outros casos, vai criar mais problemas do que fazer bem.

Edite o seu comentário:

A proteção mais importante para contas root é

  • não permitir que o acesso root comece com
  • Use somente login baseado em chave para os outros usos e desative as senhas.

Isso também ajuda a protegê-lo contra o tipo distribuído de ataque de força bruta que você pode ver hoje, onde você é atacado lentamente por um grande número de máquinas de bot com cada máquina tentando apenas um número muito pequeno de senhas. coisas como fail2ban em tudo.

2ª edição, referente ao 2º comentário:

Estamos claramente no território "depende" aqui. Um exemplo dos meus ambientes:

  • A máquina 1 tem usuários fazendo login de redes externas. Não consigo desabilitar logins de senha (por causa de motivos :(). O tempo de bloqueio está definido para 10 minutos.
  • A Máquina 2 tem apenas administradores fazendo login a partir de poucos IPs que mudam lentamente. O tempo de proibição está definido para 24h.

O problema é que a proibição de 24 horas funciona apenas marginalmente melhor, se for o caso (*), mas a máquina 2 é muito melhor protegida, apesar da restrição a logins baseados em chaves não-raiz.

(*) Essa é a minha impressão e não está fundamentada em nenhuma análise estatística real de arquivos de log.

    
por 21.07.2014 / 13:57
-1

Não é um bom comportamento proibir IP para sempre, porque qualquer conexão inofensiva leva esse IP a qualquer momento.

Eu geralmente prefiro um dia para o intervalo ideal de tempo de proibição. Essa abordagem fornece proteção para ataques do mesmo IP por um dia. Se você ainda receber ataques do mesmo IP, poderá bani-lo por um mês manualmente.

    
por 21.07.2014 / 13:54