Vraag Is het de moeite waard om mislukte inlogpogingen te blokkeren


Is het de moeite waard om te rennen fail2ban, sshdfilter  of soortgelijke tools, die een blacklist geven voor IP-adressen die proberen in te loggen en niet in te loggen?

Ik heb het gezien als betoogd dat dit beveiligingstheater is op een "correct beveiligde" server. Ik heb echter het gevoel dat scriptkiddies waarschijnlijk doorgaan naar de volgende server in hun lijst.

Laten we zeggen dat mijn server "goed beveiligd" is en ik ben niet bang dat een brute force-aanval daadwerkelijk zal slagen - zijn deze hulpmiddelen gewoon mijn logbestanden schoon te houden, of krijg ik een zinvol voordeel bij het blokkeren van brute geweldaanvallen?

Bijwerken: Veel opmerkingen over brute force raden van wachtwoorden - Ik heb wel gezegd dat ik me daarover geen zorgen maakte. Misschien had ik wat specifieker moeten zijn en gevraagd of fail2ban voordelen had voor een server die alleen key-gebaseerde ssh-logins toestaat.


14
2017-12-29 10:43


oorsprong


Dat antwoord is geen goed argument, en beweert ook niet dat Fail2Ban een beveiligingstheater is. Fail2Ban is een laag, het is geen remedie, voldoende op zich, noch noodzakelijk. Elk inlogmechanisme zou een methode moeten hebben voor snelheidsbeperking om brute-force en soortgelijke aanvallen te voorkomen (er is gewoon geen excuus om een ​​op het internet aangesloten server brut-geforceerd te laten zijn met de hedendaagse beveiligingskennis). Hoe u ervoor kiest om die snelheidsbeperking te verkrijgen, is uw keuze. - Chris S


antwoorden:


Snelheidsbeperkende inlogpogingen is een eenvoudige manier om sommige van de snelle raden voor gokken te voorkomen. Het is echter moeilijk om gedistribueerde aanvallen te beperken en veel draaien in een laag tempo gedurende weken of maanden. Persoonlijk gebruik ik liever geen geautomatiseerde responshulpmiddelen zoals fail2ban. En dit is om twee redenen:

  1. Legitieme gebruikers vergeten soms hun wachtwoorden. Ik wil geen legitieme gebruikers van mijn server verbannen en dwing me om hun accounts opnieuw handmatig in te schakelen (of erger nog, probeer uit te zoeken welke van de 100/1000 verboden IP-adressen van hen is).
  2. Een IP-adres is geen goede ID voor een gebruiker. Als je meerdere gebruikers hebt achter een enkel IP-adres (bijvoorbeeld een school die NAT uitvoert op 500 studentenmachines), kan een enkele gebruiker die een paar slechte schattingen maakt, je in een wereld van pijn brengen. Tegelijkertijd wordt het merendeel van de pogingen tot wachtwoordschatting die ik zie gedistribueerd.

Daarom beschouw ik fail2ban (en soortgelijke geautomatiseerde antwoordtools) niet als een zeer goede benadering voor het beveiligen van een server tegen brute force-aanvallen. Een eenvoudige IPTables-regels die zijn ingesteld om te bezuinigen op de log-spam (die ik op de meeste van mijn Linux-servers heb) is zoiets als dit:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Het voorkomt meer dan 4 verbindingspogingen van een enkele IP naar SSH in een periode van 60 seconden. De rest kan worden behandeld door ervoor te zorgen dat wachtwoorden redelijk sterk zijn. Op hoge beveiligingsservers dwingen de gebruikers om openbare sleutelverificatie te gebruiken een andere manier om te stoppen met gissen.


18
2017-12-29 15:06



+1 voor het voorstellen van een ander mechanisme. - dunxd


Tools zoals fail2ban helpen om onnodig netwerkverkeer te verminderen en om logbestanden iets kleiner en schoner te houden. Het is geen grote beveiliging, alles, maar maakt het leven van sysadmin een beetje gemakkelijker; daarom raad ik aan om fail2ban te gebruiken op systemen waar je het kunt betalen.


7
2017-12-29 11:08





Het gaat niet alleen om het verminderen van ruis - de meeste SSH-aanvallen proberen gissingen te bruten bij wachtwoorden. Dus terwijl je veel mislukte ssh-pogingen ziet, kunnen ze misschien tegen de tijd dat het de 2034ste poging doet een geldige gebruikersnaam / wachtwoord krijgen.

Het leuke van fail2ban in vergelijking met andere benaderingen is dat het minimaal effect heeft op pogingen om geldige verbindingen te maken.


4
2017-12-29 13:14





Wel, het bespaart je netwerk enigszins van ontkenningsaanvallen en bespaart de overhead van het verwerken van de fouten.

Niet de zwakste server op een scriptkiddieslijst zijn, is altijd goed.


1
2017-12-29 10:47





Sorry, maar ik zou zeggen dat uw server goed beveiligd is als uw sshd pogingen weigert om te authenticeren met wachtwoorden.

PasswordAuthentication no

0
2017-12-29 13:34



-1, eerste deactivering van wachtwoordverificatie is niet altijd een optie. Ten tweede kan Fail2Ban veel meer omvatten dan alleen SSHd. Ik gebruik het voor SMTP / IMAP, DNS, HTTP Login en enkele andere services. Het is geen wondermiddel en het is zeker niet nodig, maar het is erg nuttig. - Chris S
:-) Ik heb niet gezegd "als en alleen als". Ja, fail2ban is inderdaad erg handig. Maar het kan niet beschermen tegen een door de schouder gestolen wachtwoord of iets dergelijks. En inderdaad, ja! - het uitschakelen van pw auth is zeker niet altijd een optie. Maar ik zou willen voorstellen om een ​​manier te vinden om er een optie van te maken. - brownian