Das Sperren von IP-Adressen (mit Fail2Ban) ist eine automatisierte Methode, um Ihre Server vor Brute-Force-Angriffen zu schützen. In Fail2Ban werden Protokolldateien mithilfe von regulären Ausdrücken auf Muster überwacht, die mit Authentifizierungsfehlern und anderen als verdächtig eingestuften Fehlern übereinstimmen. Solche Protokolleinträge werden gezählt und ab einem bestimmten Grenzwert wird eine E-Mail-Benachrichtigung gesendet oder die IP des Angreifers wird für eine bestimmte Zeit gesperrt. Sobald der Sperrzeitraum vorüber ist, wird die Sperre der IP-Adresse automatisch wieder aufgehoben.

Die Logik in Fail2Ban wird von der Anzahl von Jails bestimmt. Ein Jail ist ein Regelsatz, der ein einzelnes Szenario abdeckt. Mithilfe der Jail-Einstellung wird festgelegt, wie auf einen Angriff reagiert werden soll, der anhand von spezifischen Filtern (ein oder mehrere reguläre Ausdrücke für die Überwachung der Protokolle) erkannt wurde. Weitere Informationen finden Sie unter Verwalten der Fail2Ban-Jails.

Bemerkung: Administratoren, die ein Upgrade von Plesk 11.5 durchführen, benötigen einen neuen Lizenzschlüssel für Plesk Onyx von Plesk oder ihrem Anbieter, um Fail2Ban nutzen zu können.

Auf die folgende Weise richten Sie Plesk so ein, dass IP-Adressen und Netzwerke, die schadhaften Traffic generieren, automatisch gesperrt werden:

  1. Gehen Sie zu  Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) (in der Gruppe  Sicherheit ). Die Komponente Fail2Ban muss auf Ihrem Server installiert sein.
  2. Aktivieren Sie das Kontrollkästchen bei Angriffserkennung aktivieren. Damit wird Fail2Ban aktiviert.
  3. Geben Sie die folgenden Einstellungen an:
    • Zeitraum für IP-Adress-Sperre – das Zeitintervall (in Sekunden) das angibt, wie lang eine IP-Adresse gesperrt werden soll. Sobald der Zeitraum vorüber ist, wird die Sperre der IP-Adresse automatisch wieder aufgehoben.
    • Zeitraum für Erkennung nachfolgender Angriffe - das Zeitintervall (in Sekunden), das angibt, wie lang das System die Anzahl an fehlgeschlagenen Versuchen und anderen unerwünschten Aktionen ausgehend von einer IP-Adresse zählt.
    • Anzahl an fehlgeschlagenen Versuchen, bevor die IP-Adresse gesperrt wird – die Anzahl an fehlgeschlagenen Anmeldeversuchen, die von der IP-Adresse ausgehen.
  4. Klicken Sie auf OK.

Nun werden alle aktiven Fail2Ban-Jails genutzt, um die Protokolldateien zu überwachen und verdächtige IP-Adressen zu sperren.

image 75007

Für Fail2Ban in Plesk gelten folgende Einschränkungen und Besonderheiten:

  • Fail2Ban bietet keinen Schutz vor Angreifern mit einer IPv6-Adresse. In Plesk verlässt sich Fail2ban lediglich auf IPs (ohne Hostnamen-Lookups), es sei denn es wird anders konfiguriert.
  • Fail2Ban kann nicht vor dezentralisierten Brute-Force-Angriffen schützen, da es Eindringlinge anhand ihrer IP-Adresse identifiziert.
  • Wenn Ihr Plesk auf einem VPS installiert ist, kann die Grenze für die iptables-Einträge des VPS (numiptent) die Funktion von Fail2Ban beeinträchtigen. Sobald die Grenze überschritten ist, funktioniert Fail2Ban nicht mehr richtig und im Fail2Ban-Protokoll ist die folgende oder eine ähnliche Zeile wie diese zu finden: fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100 Wenden Sie sich in diesem Fall an Ihren VPS-Hosting-Provider, um das Problem zu beheben.
  • Sofern vor dem Upgrade auf Plesk Onyx Fail2Ban bereits auf Ihrem Server installiert war, wird das Paket durch das Fail2Ban-Paket von Plesk ersetzt. Falls Ihr bereits installiertes Paket neuer ist als das mit Plesk bereitgestellte Paket, kann das Upgrade unter Umständen fehlschlagen. Vorhandene Jails werden nicht überschrieben und Sie können sie zusammen mit Plesk Onyx Jails in Plesk verwalten.

Wenn eine IP-Adresse nicht gesperrt werden soll:

  1. Gehen Sie zu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Vertrauenswürdige IP-Adressen > Vertrauenswürdige IP hinzufügen.
  2. Geben Sie im Feld IP-Adresse eine IP-Adresse, einen IP-Bereich oder einen DNS-Hostnamen an und klicken Sie auf OK.

Sie können Fail2Ban-Protokolldateien über Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Tab Protokolle.

Sie können die Liste der gesperrten IP-Adressen einsehen, die Adressen entsperren oder in die Liste der vertrauenswürdigen Adressen verschieben. Rufen Sie dazu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Tab Gesperrte IP-Adressen.

Sie können über Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Tab Vertrauenswürdige IP-Adressen die Liste der IP-Adressen einsehen, die niemals gesperrt werden, sowie IP-Adressen hinzufügen und von der Liste entfernen.