Como usar o Fail2Ban para proteger os aplicativos ProxyPass (ed)

1

Portanto, configurei recentemente um aplicativo que usa WebSockets e estou usando o proxy do Apache para transmitir o aplicativo por meio de domain.com/application

O problema é que o aplicativo é muito bare metal. Ele vem com uma tela de login, mas eu fui um passo além e implementei um login no htpasswd via Apache que está localizado na configuração do proxypass.

(Eu sinto que estou respondendo a minha pergunta enquanto digito, mas vou re-dizer / re-perguntar)

<Location /application>
    AllowOverride AuthConfig
    AuthUserFile /home/[USERNAME]/.htpasswd
    AuthName "Authorization Required"
    AuthType Basic
    require user [USERNAME]
    ProxyPass wss://192.168.1.50:443/application
    ProxyPassReverse wss://192.168.1.50:443/application
</Location>

Posso configurar o Fail2Ban para monitorar a tela de login do aplicativo real do servidor ProxyPass? [O aplicativo não pode instalar o Fail2Ban]

- -Workaround ?? Ao implementar a página de autorização htpasswd @ o servidor proxy falhará com base em tentativas falhas de login através do prompt inicial de autenticação Apache?

    
por FreeSoftwareServers 17.01.2016 / 10:02

1 resposta

2

Você tem certeza absoluta da configuração pura como proxypass O fail2ban não funciona aqui por vários motivos.

O fail2ban realmente funciona olhando para logs e bloqueando tentativas autenticadas com falha; você não tem nenhum como o que está fazendo a autenticação, pois os logs de autenticações estão no backend.

fail2ban como uma série de definições para protocolos conhecidos; talvez não seja o caso em alguns casos específicos, e você teria que desenvolver seu plug-in quando isso acontecer.

O fail2ban precisa estar em execução na mesma máquina em que as autenticações são feitas.

Em primeiro lugar, quando você seleciona ferramentas, recomendo que você investigue um pouco se elas se aplicam à sua situação específica. Mais importante do que usar as ferramentas é entender se elas se aplicam à sua situação.

É realmente possível colocar o fail2ban para trabalhar para bloquear as autorizações básicas da Web abusadas, como mostra este link. Eu apenas acho que seu proxypass tem precedência e a autenticação nunca é feita. Você pode precisar de uma página de destino para a autenticação e fazer o proxypass não na raiz nesse vhost.

link

Eu costumo usar mod_evasive pelo menos como uma camada adicional de segurança no Apache para controlar DoS / solicitações abusivas. Dê uma olhada na minha resposta no thread (não é a marcada como correta) Editando meu /etc/hosts.deny Não leve isso no Apache você pode limitar os pedidos, e isso ajuda muito com pessoas que abusam do seu serviço, e não apenas quando pedem por senhas.

Por favor, considere o uso de Captchas como uma medida da camada 7 para avaliar as respostas de limite. Redes coordenadas por redes de bots farão com que suas regras de fail2ban sejam ineficazes usando vários IPs diferentes para contornar suas medidas.

Dê uma olhada nisso:

"Google reCAPTCHA - Proteja seu site contra spam e abuso, permitindo que pessoas reais passem com facilidade"

link

    
por 17.01.2016 / 10:22