Le Système de prévention d'intrusion Fail2ban
Fail2Ban est un logiciel de prévention d'intrusions qui protège les serveurs informatiques contre les attaques de type brute-force. Il surveille certains journaux et bannira les adresses IP qui montrent un comportement de brute-forcing.
Vous lui donnez une liste de règles, lesquelles lui permettent de détecter si quelqu’un tente de bruteforcer votre SSH, de vous faire un DoS sur Apache ou encore sur MySQL etc, et à la volée, Fail2Ban prend les mesures qui s’imposent pour vous prémunir de ces attaques.
En particulier, Fail2Ban surveille les tentatives de connexion SSH. Après N tentatives de connexion échouées (Selon la config faite) sur jail SSH (sshd), Fail2Ban banniera l’adresse IP pendant un nombre de temps (Selon toujours la config faite).
Plutôt pratique !
Dans ce TP, nous allons mettre en place cet IPS sur un serveur qui a pour adresse 192.168.1.14 et prévenir les attaques brute-force sur le service SSH.
# apt update && apt install fail2ban -y
# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# nano /etc/fail2ban/jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.67.76/24
bantime = 777600
findtime = 2m
maxretry = 3
[sshd]
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
[recidive]
enable = true
logpath = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime = 5w
findtime = 600
Redémarrer le service
# service fail2ban restart
/image%2F3625927%2F20230711%2Fob_94ecbc_1.png)
Nous pouvons afficher le statut du jail sshd
/image%2F3625927%2F20230711%2Fob_32e054_2.png)
Place au test
Une machine va tenter de brute-forcer notre serveur
/image%2F3625927%2F20230711%2Fob_079175_3.png)
Après quelques tentatives, il n'a même plus la main pour tenter de saisir un quelconque mot de passe.
Pendant ce temps dans le fichier log fail2ban (/var/log/fail2ban.log) du serveur,
/image%2F3625927%2F20230711%2Fob_8bb705_4.png)
Si nous jettons un coup-doeil sur le status du jail sshd du serveur
/image%2F3625927%2F20230711%2Fob_568c9d_5.png)
Il est clair que la machine 192.168.1.25 figure sur la liste des IP bannies.
Voici la règle appliquée aux adresses IP figurant dans la black-list
/image%2F3625927%2F20230711%2Fob_d0849d_6.png)
Pour rétirer cette machine de la liste noire, nous devons proceder comme suit :
/image%2F3625927%2F20230711%2Fob_df386d_7.png)
Et cet informaticien politiquement incorrect pourra à nouveau tenter sa chance
/image%2F3625927%2F20230711%2Fob_b891e9_8.png)
Note : s'il s'agissait d'un serveur disposant d'une IP publique, et qu'un hacker arrive à être banni pour avoir tenté de brute-forcer ce serveur en question, en réalité c'est l'adresse IP publique du modem de ce hacker qui sera bannie car c'est du PAT (Port Address Translation) qui est déployé. Et par conséquant, toutes les machines se trouvant derrière ce modem du hacker seront également bannies. Ce sont les réalités du réseau.
Fail2ban est un système de prévention d'intrusions très efficace contre les attaques brute-force. 😉