Apakah sepadan dengan upaya untuk memblokir upaya login yang gagal


15

Apakah layak menjalankan fail2ban , sshdfilter atau alat serupa, yang memasukkan alamat IP blacklist yang mencoba dan gagal masuk?

Saya telah melihatnya berargumen bahwa ini adalah teater keamanan di server "yang diamankan dengan benar". Namun, saya merasa bahwa itu mungkin membuat skrip kiddies pindah ke server berikutnya dalam daftar mereka.

Katakanlah server saya "diamankan dengan benar" dan saya tidak khawatir bahwa serangan brute force akan benar-benar berhasil - apakah alat-alat ini hanya menjaga logfile saya bersih, atau apakah saya mendapatkan manfaat yang berharga dalam memblokir upaya serangan brute force?

Pembaruan : Banyak komentar tentang menebak kata sandi dengan kasar - saya memang menyebutkan bahwa saya tidak khawatir tentang ini. Mungkin saya seharusnya lebih spesifik dan bertanya apakah fail2ban memiliki manfaat untuk server yang hanya memungkinkan login ssh berbasis kunci.


2
Jawaban itu bukan argumen yang tepat, juga tidak mengklaim bahwa Fail2Ban adalah teater keamanan. Fail2Ban adalah layer, itu bukan obat untuk semua, cukup dengan sendirinya, tidak perlu. Setiap mekanisme login harus memiliki metode pembatasan laju untuk mencegah serangan brute-force dan sejenisnya (tidak ada alasan untuk membiarkan server yang terhubung Internet menjadi brute-paksa dengan pengetahuan keamanan saat ini). Bagaimana Anda memilih untuk mendapatkan bahwa batasan tarif adalah pilihan Anda.
Chris S

Jawaban:


18

Upaya membatasi login masuk adalah cara mudah untuk mencegah beberapa serangan tebakan kata sandi berkecepatan tinggi. Namun, sulit untuk membatasi serangan yang didistribusikan dan banyak yang berjalan dengan kecepatan rendah selama beberapa minggu atau bulan. Saya pribadi lebih suka menghindari penggunaan alat respons otomatis seperti fail2ban. Dan ini karena dua alasan:

  1. Pengguna yang sah terkadang lupa kata sandi mereka. Saya tidak ingin mencekal pengguna yang sah dari server saya, memaksaku untuk secara manual mengaktifkan kembali akun mereka (atau lebih buruk lagi, cobalah mencari tahu dari 100/1000 alamat IP yang dilarang milik mereka).
  2. Alamat IP bukan pengidentifikasi yang baik untuk pengguna. Jika Anda memiliki banyak pengguna di belakang satu IP (misalnya, sebuah sekolah yang menjalankan NAT pada 500 mesin siswa), satu pengguna yang membuat beberapa tebakan buruk dapat membuat Anda berada di dunia yang penuh penderitaan. Pada saat yang sama sebagian besar upaya menebak kata sandi yang saya lihat didistribusikan.

Oleh karena itu saya tidak menganggap fail2ban (dan alat respons otomatis serupa) pendekatan yang sangat baik untuk mengamankan server terhadap serangan brute force. Aturan IPTables sederhana yang diatur untuk mengurangi log spam (yang saya miliki di sebagian besar server linux saya) adalah sesuatu seperti ini:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Ini mencegah lebih dari 4 upaya koneksi dari satu IP ke ssh dalam periode 60 detik. Sisanya dapat ditangani dengan memastikan kata sandi cukup kuat. Pada server keamanan tinggi yang memaksa pengguna untuk menggunakan otentikasi kunci publik adalah cara lain untuk berhenti menebak.


1
+1 untuk menyarankan mekanisme lain.
dunxd

7

Alat-alat seperti fail2ban membantu mengurangi lalu lintas jaringan yang tidak perlu dan untuk menjaga file log sedikit lebih kecil dan lebih bersih. Bukan keamanan besar yang menyembuhkan semuanya, tetapi membuat kehidupan sysadmin sedikit lebih mudah; itu sebabnya saya merekomendasikan menggunakan fail2ban pada sistem di mana Anda dapat membelinya.


4

Ini bukan hanya tentang mengurangi kebisingan - sebagian besar serangan ssh mencoba untuk memaksa menebak password. Jadi, sementara Anda akan melihat banyak upaya ssh yang gagal, mungkin pada saat mendapat upaya ke-2034 mereka mungkin mendapatkan nama pengguna / kata sandi yang valid.

Yang menyenangkan tentang fail2ban dibandingkan dengan pendekatan lain adalah ia memiliki efek minimal pada upaya koneksi yang valid.


1

Yah, itu agak menghemat jaringan Anda dari serangan penolakan, dan menghemat biaya pemrosesan kesalahan.

Tidak menjadi server terlemah dalam daftar skrip kiddies selalu merupakan hal yang baik.


0

Maaf, tetapi saya akan mengatakan bahwa server Anda diamankan dengan benar jika sshd Anda menolak upaya untuk mengotentikasi dengan kata sandi.

PasswordAuthentication no

1
-1, Pertama menonaktifkan otentikasi kata sandi tidak selalu merupakan opsi. Kedua, Fail2Ban dapat mencakup lebih dari sekedar SSHd. Saya menggunakannya untuk SMTP / IMAP, DNS, HTTP Login, dan beberapa layanan lainnya. Ini bukan obat untuk semua, dan tentu saja tidak perlu, tetapi sangat berguna.
Chris S

:-) Saya tidak mengatakan "jika dan hanya jika". Ya, fail2ban sangat berguna, memang. Tapi itu tidak bisa melindungi terhadap kata sandi yang dicuri bahu atau seperti itu. Dan memang, ya! - Menonaktifkan pw auth tidak selalu menjadi pilihan, pasti. Tetapi saya akan menyarankan untuk menemukan cara untuk menjadikannya pilihan.
coklat
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.