fail2ban com IP estático

1

Existe algum ponto para executar o fail2ban para proteger sua conexão SSH se você se conectar de um IP estático?

Tanto quanto eu posso ver ter o fail2ban rodando significa que você efetivamente abre a porta 22 para os hackers, pois coloca uma entrada no seu iptables para permitir conexões de porta 22 de qualquer IP. Pode então bani-los de acordo com suas configurações de cadeia, mas não seria mais seguro ter as seguintes entradas do iptables?

Chain INPUT (policy ACCEPT)  
1 ACCEPT     tcp  --  {**mystaticIP**}         0.0.0.0/0           tcp dpt:22  
2 REJECT     tcp  --  0.0.0.0/0                0.0.0.0/0           reject-with icmp-host-prohibited  

**OR** maybe this option, with fail2ban, is safer?

Chain INPUT (policy ACCEPT)  
1 fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22  
...  
Chain fail2ban-SSH (1 references)  
1 REJECT     all  --  0.0.0.0/0               0.0.0.0/0           reject-with icmp-host-prohibited

com configuração jail.local ignoreip = 127.0.0.1/8 { mystaticIP }

    
por funnyfish 27.11.2014 / 17:38

2 respostas

2

Limitar o acesso a um aplicativo a um subconjunto específico de IPs confiáveis é sempre menos arriscado do que abri-lo no mundo todo. Considere o exemplo de SSH que você apresenta. O Fail2ban pode diminuir as tentativas de força bruta do seu servidor SSH. Seu caso de uso geralmente é para sistemas que, por necessidade, precisam ser acessados da Internet como um todo. Isso é útil, mas não faz nada se houver uma vulnerabilidade no SSH.

Evitar que os pacotes atinjam seu daemon SSH usando o iptables impediria que o tráfego malicioso o alcançasse. Também impediria tentativas de força bruta do mundo em geral. A menos que um dos seus IPs confiáveis seja comprometido ou usado como ponto de reflexão, esse controle é muito mais eficaz do que o fail2ban.

    
por 27.11.2014 / 22:17
2

Isso é um pouco baseado em opinião, mas acho que se você pode limitar o acesso a um serviço a um conjunto de IPs específicos e bloquear todo o resto, isso é preferível a um serviço como fail2ban , já que você também evita exploração desse serviço.

É perfeitamente possível que algum dia alguém encontre um bug no OpenSSH que conceda acesso se determinadas circunstâncias forem atendidas. O Fail2ban não impediria isso, mas se um invasor não puder se conectar ao IP, você ainda estará protegido.

    
por 27.11.2014 / 17:52