O fail2ban e o apf + bfd se complementam?

1

Pesquisando sobre as diferenças entre o Advanced Firewall Policy (APF) junto com o Brute Force Detection System (BFD) e o Fail2Ban, não consegui encontrar muita coisa. Eles usam métodos diferentes, ao mesmo tempo, as duas soluções essencialmente fazem a mesma coisa - eles analisam arquivos de logs e, com base em padrões predeterminados, bloqueiam IPs ofensivos via iptables.

No entanto, existem vários tutoriais que explicam como configurar o APF e o Fail2Ban nos mesmos sistemas, para que eles não substituam as entradas uns dos outros no iptables. E lá estou eu confuso: por que instalar dois firewalls, que fazem a mesma coisa? Ou estou faltando alguma coisa? Eles se complementam? Alguém faz alguma coisa que a outra solução não faz?

    
por Nick 28.08.2017 / 07:02

1 resposta

2

Eles podem se complementar ao testar diferentes violações. Enquanto o Fail2ban e Brute Force Detection (BFD) tem essencialmente o mesmo propósito, o APF faz outras coisas.

O Advanced Policy Firewall (APF) monitora o conteúdo das conexões, em vez dos arquivos de log. Políticas informativas baseadas em conexão verificam se os pacotes correspondem ao protocolo de conexão e as políticas baseadas em integridade descartam padrões de ataque conhecidos e pacotes malformados potencialmente usados para ataques.

Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time,

    
por 28.08.2017 / 07:19