Protezione contro attacchi di forza bruta (Fail2Ban)

L'esclusione dell'indirizzo IP (Fail2Ban) è un modo automatico di proteggere il proprio server dagli attacchi di forza bruta. Fail2Ban usa espressioni regolari per monitorare i file di log per i modelli corrispondenti agli errori di autenticazione e altri errori che sono considerati sospetti.

Se un indirizzo IP esegue troppi tentativi per effettuare l'accesso entro un intervallo di tempo definito dall'amministratore, questo indirizzo IP viene escluso per un determinato periodo di tempo. Fail2Ban può anche aggiornare le regole del firewall e inviare notifiche email. Quando il periodo di esclusione è passato, l'indirizzo IP viene automaticamente accettato.

Nota: Per usare Fail2Ban, gli amministratori che aggiornano da Plesk 11.5 devono ottenere una nuova chiave di licenza per Plesk 12 da Odin o dal relativo produttore.

Configura Plesk in modo che escluda automaticamente gli indirizzi IP e le reti che generano traffico maligno:

1. Vai a  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) (nel gruppo  Sicurezza ). Il componente Fail2Ban deve essere installato sul tuo server.
2. Seleziona la casella di controllo Abilita rilevamento intrusione.
3. Specificare le seguenti impostazioni:
   • Periodo di proibizione di indirizzi IP – intervallo di tempo in secondi durante il quale un indirizzo IP è proibito. Quando questo periodo sarà passato, l'indirizzo IP viene automaticamente accettato.
   • Intervallo di tempo per il rilevamento di attacchi successivi - l'intervallo di tempo in secondi durante il quale il sistema calcola il numero di tentativi di accessi non riusciti e altre azioni non desiderate da un indirizzo IP.
   • Numero di errori prima che l'indirizzo IP sia proibito – il numero di tentativi di accesso non riusciti dall'indirizzo IP.
4. Fai clic su OK.

Tutte le jail di Fail2Ban attive saranno usate per monitorare i file di log e per proibire gli indirizzi IP sospetti.

Fail2Ban in Plesk ha le seguenti limitazioni e peculiarità:

• Fail2Ban non deve essere riavviato manualmente come un servizio Plesk, poiché si perderanno tutti i dati statistici accumulati, inclusi gli indirizzi IP correntemente proibiti.
• Fail2Ban non offre protezione contro gli autori di attacchi con un indirizzo IPv6. Fail2ban in Plesk si basa unicamente su IP (senza ricerche di nome host) a meno che non sia riconfigurato.
• Fail2Ban non può proteggersi contro gli attacchi di forza bruta distribuiti, poiché identifica gli intrusi dal loro indirizzo IP.
• Se la tua istanza di Plesk è installata su un VPS, il limite dei registri iptables VPS (numiptent) potrebbe incidere sul funzionamento di Fail2Ban. Quando questo limite sarà oltrepassato, Fail2Ban smetterà di funzionare correttamente e nel registro di Fail2Ban verrà mostrata una riga simile a questa:
  fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
  In questo caso, contattare il fornitore di hosting VPS per risolvere il problema.
• Se Fail2Ban era installato sul tuo server prima di effettuare l'upgrade a Plesk 12, il pacchetto verrà sostituito dal pacchetto Fail2Ban di Plesk. Se il pacchetto già installato è più recente di quello fornito con Plesk, l'aggiornamento potrebbe non riuscire. Le jail esistenti non saranno sovrascritte e potrai gestirle in Plesk insieme alle jail di Plesk.

Se un indirizzo IP non deve essere bloccato:

1. Vai su  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > Indirizzi IP attendibili > Aggiungi IP attendibile.
2. Nel campo Indirizzo IP, fornisci un indirizzo IP, un intervallo IP o un nome host DNS e fai clic su OK.

Puoi visualizzare e scaricare i file di registro Fail2Ban in  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > scheda Registri .

È possibile visualizzare la lista di indirizzi IP esclusi, riammetterli o spostarli verso la lista di indirizzi attendibili in  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > scheda Indirizzi IP esclusi .

È possibile visualizzare la lista di indirizzi IP che non saranno mai esclusi, aggiungere o rimuovere indirizzi IP a/da questa lista in Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > Indirizzi IP attendibili .