Brute-force en andere exploits voorkomen met Fail2ban

Een zeer veel voorkomende hacktechniek is de brute-force methode. Hierbij probeert de aanvaller een zeer grote hoeveelheid wachtwoorden uit (ook wel met behulp van een dictionary-attack). Dit in de hoop het goede wachtwoord bij toeval te achterhalen.

Deze aanvalsmethode heeft echter een zwak punt. De aanvallen zijn gemakkelijk te detecteren in de logfiles waar de foutieve inlogpogingen gelogd worden. Omdat de aanval lang duurt voordat het wachtwoord per toeval achterhaald is, mits u een goed wachtwoord heeft, is beveiliging tegen deze brute-force methode goed mogelijk.

Werken met Fail2ban

Bij de meeste virtuele servers van Rimote is Fail2ban reeds geïnstalleerd. Dit vaak in combinatie met Shoreline Firewall (Shorewall). Standaard wordt SSH tegen brute-force attacks beschermd. Ook diverse Apache gerelateerde exploits worden tegengegaan.

Fail2ban zelf instellen
U kunt eigen wijzigingen het beste doorvoeren door /etc/fail2ban/jail.local aan te passen. Gegevens in dit bestand overschrijven automatisch de instellingen in /etc/fail2ban/jail.conf. Op deze wijze blijft uw configuratie ook werken na een update van fail2ban.

Help! Ik ben geblokkeerd door mijn firewall

Als u per ongeluk zelf geblokkeerd bent, dient u een ander IP-adres te verkrijgen om alsnog in te kunnen loggen.
Door Shorewall geblokkeerde IP-adressen kunt u bekijken met:

U verwijdert uw geblokkeerde IP-adres vervolgens met:

Voorkom dat u geblacklist wordt

U kunt in /etc/fail2ban/jail.local uw eigen IP preventief toevoegen:

[DEFAULT]
...
ignoreip = 127.0.0.1 1.2.3.4