Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Fail2ban

01-10-2018, 09:05 door Anoniem, 11 reacties
Waar beschermt Fail2ban nou concreet tegen?
https://www.fail2ban.org/wiki/index.php/Main_Page

Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?

Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Reacties (11)
01-10-2018, 09:32 door Anoniem
Het kijkt in /var/log/auth.log en /var/log/apache/access.log kijkt of er iets verdachts gebeurt daar meer niet en dat blokt het.
01-10-2018, 09:36 door Tha Cleaner
Door Anoniem: Waar beschermt Fail2ban nou concreet tegen?
https://www.fail2ban.org/wiki/index.php/Main_Page

Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?

Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Wat is je definitie va hack.....

Je kan fail2ban bijvoorbeeld je apache logfiles kunnen laten analyseren of bepaalde informatie en op basis daarvan een block rule maken/gebruiken
https://www.digitalocean.com/community/tutorials/how-to-protect-an-apache-server-with-fail2ban-on-ubuntu-14-04
01-10-2018, 09:43 door Anoniem
Door Tha Cleaner:
Door Anoniem: Waar beschermt Fail2ban nou concreet tegen?
https://www.fail2ban.org/wiki/index.php/Main_Page

Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?

Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Wat is je definitie va hack.....

Je kan fail2ban bijvoorbeeld je apache logfiles kunnen laten analyseren of bepaalde informatie en op basis daarvan een block rule maken/gebruiken
https://www.digitalocean.com/community/tutorials/how-to-protect-an-apache-server-with-fail2ban-on-ubuntu-14-04

Maar fail2ban heeft geen toegevoegde waarde voor een persoonlijke laptop waar geen apache op draait en geen gebruik gemaakt van ssh en andere diensten toch?
01-10-2018, 09:46 door Anoniem
Wat is "hack op poort 443"? Welke service draai je dat? Welke software gebruik je daarvoor? Ben je bang dat de serversoftware wordt aangevallen met een kwetsbaarheid? Of bedoel je misschien dat er misbruik wordt gemaakt van een misconfiguratie? SQL-injection? Bruteforce? Etc. Etc.

Ga dus eerst _zelf_ even nadenken wat je precies bedoelt, waar je je tegen wil beschermen en misschien kan iemand dan je vraag beantwoorden.
01-10-2018, 09:55 door Anoniem
"Hack" is ondertussen een leeg woord, het betekent niets. Dus begin eens met iets concreter te bedenken wat je nou eigenlijk bedoelt. En ja, heel de security industrie heeft een handje van dat lege woord vrijelijk overal voor te misbruiken en vaak zelf geen idee wat ze nou eigenlijk bedoelen. Daar krijg je geen duidelijke antwoorden mee. Vandaar dus ook dat de security industrie zo vreselijk slecht presteert. Maar dit terzijde.

In het kort, fail2ban is niet een beveiligingsmaatregel.

Bij ssh lopen je logfiles makkelijk vol met allerlei brute force wachtwoordraderij omdat zulks ondertussen vast onderdeel is van de "achtergrondruis" op het open internet, en om dat diskvullen een beetje in te dammen kun je fail2ban inzetten: Bij teveel mislukte inlogpogingen blokkeer je het IPadres waar ze vandaan komen een tijdje.

De raderij hou je effectief buiten de deur door gewoon geen inloggen per wachtwoord van buitenaf toe te laten, door bijvoorbeeld alleen inloggen per ssh-key toe te staan. Maar dat brute forcen kost wel processorkracht en logfileruimte om af te handelen en omdat je dat niet niet aan andermans ongebreideld proberen wil besteden zet je daar een rem op. Dat is wat fail2ban doet.

Hetzelfde met je webservertje en partijen die even honderduizend keer naar een niet-bestaande varianten op admin.php vragen. Legitieme aanvragen laat je door, teveel 404 (of andere 4xx of 5xx) op rij zet je een rem op. Maar zie fail2ban dus alleen maar als een rem, niet een beveiliging.
01-10-2018, 10:03 door Anoniem
Fail2ban kijkt naar meldingen in logbestanden. Je kan het configureren om naar meldingen van een webserver te kijken, en die kan naar poort 443 luisteren.

Het kan zeker niet alle aanvallen blokkeren, maar het kan wel aanvallen die bijvoorbeeld eindeloos veel usernaam/wachtwoord-combinaties uitproberen tegenwerken door ze na verloop van tijd af te kappen. Dat verkleint het aantal pogingen dat kort na elkaar gedaan kan worden en daarmee de klans dat zo'n aanval slaagt.

Ik heb het wel op SSH-servers gebruikt waar wachtwoord-logins niet eens op mogelijk waren. Wat het daar voor me deed was voorkomen dat logbestanden volliepen met eindeloze reeksen mislukte loginpogingen, zodat het bij het doorbladeren van die logs niet voor mijn ogen ging dansen zodat belangrijke meldingen mogelijk niet meer opvielen. Dat kan je ook wel op andere manieren uitfilteren, maar het beviel me wel dat een hoop troep om te beginnen niet in die logbestanden belandde.
01-10-2018, 10:13 door Anoniem
Fail2Ban beschermt tegen herhaalde aanvallen.
Als iemand een poging doet om in te breken op poort 123 (voorbeeld) en klopt 2x verkeerd wachtwoord in, dan gebeurt er niets. Bij de derde keer wordt zijn ip geblokkeerd.
Daarna wordt het ip nooit meer of na een periode weer vrij gegeven.

Dat is heel beknopt de werking van fail2ban.
01-10-2018, 10:26 door Anoniem
Wij gebruiken fail2ban ook op onze webservers, zelf rulesets gemaakt voor de bekende 'security scanners'. Daarnaast een generieke rule set voor meerdere 404s en spambots/ canary spam trap.
01-10-2018, 11:19 door Anoniem
Door Anoniem: Maar fail2ban heeft geen toegevoegde waarde voor een persoonlijke laptop waar geen apache op draait en geen gebruik gemaakt van ssh en andere diensten toch?

Inderdaad: als je laptop geen netwerk-diensten (met SSH als bekendste voorbeeld) draait, dan heeft fail2ban geen zin. Fail2ban is om het raden van wachtwoorden tegen te gaan bij inloggen via het netwerk. SSH is genoemd, telnet zou ook kunnen, etc. Heb je die diensten niet aanstaan op je laptop, dan heeft 't inderdaad geen toegevoegde waarde om fail2ban te installeren.
01-10-2018, 11:22 door Anoniem
Voor een persoonlijke laptop dat geen ssh gebruikt of apache heeft het inderdaad geen nut.
01-10-2018, 11:35 door Anoniem
Door Anoniem:
Door Anoniem: Maar fail2ban heeft geen toegevoegde waarde voor een persoonlijke laptop waar geen apache op draait en geen gebruik gemaakt van ssh en andere diensten toch?

Inderdaad: als je laptop geen netwerk-diensten (met SSH als bekendste voorbeeld) draait, dan heeft fail2ban geen zin. Fail2ban is om het raden van wachtwoorden tegen te gaan bij inloggen via het netwerk. SSH is genoemd, telnet zou ook kunnen, etc. Heb je die diensten niet aanstaan op je laptop, dan heeft 't inderdaad geen toegevoegde waarde om fail2ban te installeren.

Dankjewel voor je antwoord!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.