Configurando o fail2ban para ignorar conexões por trás de um IP dinâmico

2

Usando fail2ban para proteger um servidor Ubuntu 12.04 x64 no DigitalOcean , enquanto edita o /etc/fail2ban/jail.local esta parte:

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8

Esse é o IP do qual o administrador se conectará, mas há alguma solução se o administrador tiver um IP dinâmico?
Ou isso simplesmente derrota o propósito?

    
por Marius Butuc 16.02.2013 / 21:33

3 respostas

5

Se os administradores estiverem se conectando a IPs dinâmicos, posso pensar em três opções diferentes:

  1. Se um intervalo desses IPs dinâmicos for conhecido e pequeno o suficiente, adicione isso.
  2. Peça aos seus administradores que configurem nomes de host DNS dinâmicos apontando para seus IPs atuais e adicionem esses nomes de host a essa lista de ignorados.
  3. Certifique-se de que os seus administradores não possuam butterfingers e possam digitar corretamente suas senhas. :) Ou melhor ainda configurar chaves privadas / públicas ssh.
por 16.02.2013 / 21:45
5

No máximo, você pode colocar na lista de permissões o intervalo de IP em que seu administrador está, mas, em seguida, fica vulnerável a ataques desse intervalo. Ainda ajudaria (a maior parte da força bruta vem de outros países / ISPs), mas não é ideal.

Se apenas proibir depois de dizer, 5 tentativas incorretas, é realmente um problema? Com que frequência o seu administrador vai se trancar? Se eles não conseguem se lembrar de senhas, talvez você possa olhar para as chaves SSH?

    
por 16.02.2013 / 21:42
0

Fail2ban is an intrusion prevention software framework which protects computer servers from brute-force attacks. - Wikipedia

A opção ignoreip não é para conexões administrativas e deve ser usada com sabedoria. Por exemplo, em redes privadas onde você está em uma VLAN diferente que o resto dos usuários, mas mesmo assim ele não deve ser considerado (e se um invasor estiver na sua VLAN?).

Se você souber a senha do servidor, então você não vai se banir, mas se você falhar 3 vezes (ou o maxretry configurado), tente novamente mais tarde (segundos bantime).

Recomendo vivamente a utilização de uma chave SSH, uma vez que são mais seguros. E teste sua configuração para saber que está funcionando bem tentando usuários inválidos, senhas inválidas, etc. (sim, isso significa proibir você mesmo).

    
por 09.07.2015 / 07:28