Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Fail2ban
01-10-2018, 09:05 door Anoniem, 11 reacties
Waar beschermt Fail2ban nou concreet tegen?
https://www.fail2ban.org/wiki/index.php/Main_Page
Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?
Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
https://www.fail2ban.org/wiki/index.php/Main_Page
Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?
Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Reacties (11)
Het kijkt in /var/log/auth.log en /var/log/apache/access.log kijkt of er iets verdachts gebeurt daar meer niet en dat blokt het.
01-10-2018, 09:36 door
Tha Cleaner
Door Anoniem: Waar beschermt Fail2ban nou concreet tegen?
https://www.fail2ban.org/wiki/index.php/Main_Page
Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?
Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Wat is je definitie va hack.....https://www.fail2ban.org/wiki/index.php/Main_Page
Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?
Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Je kan fail2ban bijvoorbeeld je apache logfiles kunnen laten analyseren of bepaalde informatie en op basis daarvan een block rule maken/gebruiken
https://www.digitalocean.com/community/tutorials/how-to-protect-an-apache-server-with-fail2ban-on-ubuntu-14-04
Door Tha Cleaner:
Je kan fail2ban bijvoorbeeld je apache logfiles kunnen laten analyseren of bepaalde informatie en op basis daarvan een block rule maken/gebruiken
https://www.digitalocean.com/community/tutorials/how-to-protect-an-apache-server-with-fail2ban-on-ubuntu-14-04
Door Anoniem: Waar beschermt Fail2ban nou concreet tegen?
https://www.fail2ban.org/wiki/index.php/Main_Page
Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?
Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Wat is je definitie va hack.....https://www.fail2ban.org/wiki/index.php/Main_Page
Ik lees dat het login pogingen voorkomt zoals SSH ed.
Maar echt concreet tegenhouden van Hacks doet het niet toch(als je deze services niet gebruikt)?
Dus het zou bijvoorbeeld niet hack op poort 443 stoppen toch?
Je kan fail2ban bijvoorbeeld je apache logfiles kunnen laten analyseren of bepaalde informatie en op basis daarvan een block rule maken/gebruiken
https://www.digitalocean.com/community/tutorials/how-to-protect-an-apache-server-with-fail2ban-on-ubuntu-14-04
Maar fail2ban heeft geen toegevoegde waarde voor een persoonlijke laptop waar geen apache op draait en geen gebruik gemaakt van ssh en andere diensten toch?
Wat is "hack op poort 443"? Welke service draai je dat? Welke software gebruik je daarvoor? Ben je bang dat de serversoftware wordt aangevallen met een kwetsbaarheid? Of bedoel je misschien dat er misbruik wordt gemaakt van een misconfiguratie? SQL-injection? Bruteforce? Etc. Etc.
Ga dus eerst _zelf_ even nadenken wat je precies bedoelt, waar je je tegen wil beschermen en misschien kan iemand dan je vraag beantwoorden.
Ga dus eerst _zelf_ even nadenken wat je precies bedoelt, waar je je tegen wil beschermen en misschien kan iemand dan je vraag beantwoorden.
"Hack" is ondertussen een leeg woord, het betekent niets. Dus begin eens met iets concreter te bedenken wat je nou eigenlijk bedoelt. En ja, heel de security industrie heeft een handje van dat lege woord vrijelijk overal voor te misbruiken en vaak zelf geen idee wat ze nou eigenlijk bedoelen. Daar krijg je geen duidelijke antwoorden mee. Vandaar dus ook dat de security industrie zo vreselijk slecht presteert. Maar dit terzijde.
In het kort, fail2ban is niet een beveiligingsmaatregel.
Bij ssh lopen je logfiles makkelijk vol met allerlei brute force wachtwoordraderij omdat zulks ondertussen vast onderdeel is van de "achtergrondruis" op het open internet, en om dat diskvullen een beetje in te dammen kun je fail2ban inzetten: Bij teveel mislukte inlogpogingen blokkeer je het IPadres waar ze vandaan komen een tijdje.
De raderij hou je effectief buiten de deur door gewoon geen inloggen per wachtwoord van buitenaf toe te laten, door bijvoorbeeld alleen inloggen per ssh-key toe te staan. Maar dat brute forcen kost wel processorkracht en logfileruimte om af te handelen en omdat je dat niet niet aan andermans ongebreideld proberen wil besteden zet je daar een rem op. Dat is wat fail2ban doet.
Hetzelfde met je webservertje en partijen die even honderduizend keer naar een niet-bestaande varianten op admin.php vragen. Legitieme aanvragen laat je door, teveel 404 (of andere 4xx of 5xx) op rij zet je een rem op. Maar zie fail2ban dus alleen maar als een rem, niet een beveiliging.
In het kort, fail2ban is niet een beveiligingsmaatregel.
Bij ssh lopen je logfiles makkelijk vol met allerlei brute force wachtwoordraderij omdat zulks ondertussen vast onderdeel is van de "achtergrondruis" op het open internet, en om dat diskvullen een beetje in te dammen kun je fail2ban inzetten: Bij teveel mislukte inlogpogingen blokkeer je het IPadres waar ze vandaan komen een tijdje.
De raderij hou je effectief buiten de deur door gewoon geen inloggen per wachtwoord van buitenaf toe te laten, door bijvoorbeeld alleen inloggen per ssh-key toe te staan. Maar dat brute forcen kost wel processorkracht en logfileruimte om af te handelen en omdat je dat niet niet aan andermans ongebreideld proberen wil besteden zet je daar een rem op. Dat is wat fail2ban doet.
Hetzelfde met je webservertje en partijen die even honderduizend keer naar een niet-bestaande varianten op admin.php vragen. Legitieme aanvragen laat je door, teveel 404 (of andere 4xx of 5xx) op rij zet je een rem op. Maar zie fail2ban dus alleen maar als een rem, niet een beveiliging.
Fail2ban kijkt naar meldingen in logbestanden. Je kan het configureren om naar meldingen van een webserver te kijken, en die kan naar poort 443 luisteren.
Het kan zeker niet alle aanvallen blokkeren, maar het kan wel aanvallen die bijvoorbeeld eindeloos veel usernaam/wachtwoord-combinaties uitproberen tegenwerken door ze na verloop van tijd af te kappen. Dat verkleint het aantal pogingen dat kort na elkaar gedaan kan worden en daarmee de klans dat zo'n aanval slaagt.
Ik heb het wel op SSH-servers gebruikt waar wachtwoord-logins niet eens op mogelijk waren. Wat het daar voor me deed was voorkomen dat logbestanden volliepen met eindeloze reeksen mislukte loginpogingen, zodat het bij het doorbladeren van die logs niet voor mijn ogen ging dansen zodat belangrijke meldingen mogelijk niet meer opvielen. Dat kan je ook wel op andere manieren uitfilteren, maar het beviel me wel dat een hoop troep om te beginnen niet in die logbestanden belandde.
Het kan zeker niet alle aanvallen blokkeren, maar het kan wel aanvallen die bijvoorbeeld eindeloos veel usernaam/wachtwoord-combinaties uitproberen tegenwerken door ze na verloop van tijd af te kappen. Dat verkleint het aantal pogingen dat kort na elkaar gedaan kan worden en daarmee de klans dat zo'n aanval slaagt.
Ik heb het wel op SSH-servers gebruikt waar wachtwoord-logins niet eens op mogelijk waren. Wat het daar voor me deed was voorkomen dat logbestanden volliepen met eindeloze reeksen mislukte loginpogingen, zodat het bij het doorbladeren van die logs niet voor mijn ogen ging dansen zodat belangrijke meldingen mogelijk niet meer opvielen. Dat kan je ook wel op andere manieren uitfilteren, maar het beviel me wel dat een hoop troep om te beginnen niet in die logbestanden belandde.
Fail2Ban beschermt tegen herhaalde aanvallen.
Als iemand een poging doet om in te breken op poort 123 (voorbeeld) en klopt 2x verkeerd wachtwoord in, dan gebeurt er niets. Bij de derde keer wordt zijn ip geblokkeerd.
Daarna wordt het ip nooit meer of na een periode weer vrij gegeven.
Dat is heel beknopt de werking van fail2ban.
Als iemand een poging doet om in te breken op poort 123 (voorbeeld) en klopt 2x verkeerd wachtwoord in, dan gebeurt er niets. Bij de derde keer wordt zijn ip geblokkeerd.
Daarna wordt het ip nooit meer of na een periode weer vrij gegeven.
Dat is heel beknopt de werking van fail2ban.
Wij gebruiken fail2ban ook op onze webservers, zelf rulesets gemaakt voor de bekende 'security scanners'. Daarnaast een generieke rule set voor meerdere 404s en spambots/ canary spam trap.
Door Anoniem: Maar fail2ban heeft geen toegevoegde waarde voor een persoonlijke laptop waar geen apache op draait en geen gebruik gemaakt van ssh en andere diensten toch?
Inderdaad: als je laptop geen netwerk-diensten (met SSH als bekendste voorbeeld) draait, dan heeft fail2ban geen zin. Fail2ban is om het raden van wachtwoorden tegen te gaan bij inloggen via het netwerk. SSH is genoemd, telnet zou ook kunnen, etc. Heb je die diensten niet aanstaan op je laptop, dan heeft 't inderdaad geen toegevoegde waarde om fail2ban te installeren.
Voor een persoonlijke laptop dat geen ssh gebruikt of apache heeft het inderdaad geen nut.
Door Anoniem:
Inderdaad: als je laptop geen netwerk-diensten (met SSH als bekendste voorbeeld) draait, dan heeft fail2ban geen zin. Fail2ban is om het raden van wachtwoorden tegen te gaan bij inloggen via het netwerk. SSH is genoemd, telnet zou ook kunnen, etc. Heb je die diensten niet aanstaan op je laptop, dan heeft 't inderdaad geen toegevoegde waarde om fail2ban te installeren.
Door Anoniem: Maar fail2ban heeft geen toegevoegde waarde voor een persoonlijke laptop waar geen apache op draait en geen gebruik gemaakt van ssh en andere diensten toch?
Inderdaad: als je laptop geen netwerk-diensten (met SSH als bekendste voorbeeld) draait, dan heeft fail2ban geen zin. Fail2ban is om het raden van wachtwoorden tegen te gaan bij inloggen via het netwerk. SSH is genoemd, telnet zou ook kunnen, etc. Heb je die diensten niet aanstaan op je laptop, dan heeft 't inderdaad geen toegevoegde waarde om fail2ban te installeren.
Dankjewel voor je antwoord!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.