Protezione contro attacchi di forza bruta (Fail2Ban)

L'esclusione dell'indirizzo IP ( Fail2Ban) è un modo automatico di proteggere il proprio server dagli attacchi di forza bruta. Fail2Ban usa espressioni regolari per monitorare i file di log per i modelli corrispondenti agli errori di autenticazione, la ricerca di exploit e altri elementi che possono essere considerati sospetti. Queste voci di registro vengono conteggiate e, quando il loro numero raggiunge un valore predefinito, Fail2Ban invia un'e-mail di notifica o esclude l'IP dell'hacker per un periodo predeterminato. Quando il periodo di esclusione è passato, l'indirizzo IP viene automaticamente accettato.

La logica di Fail2Ban dipende da un numero di jail. Una jail è un gruppo di regole che coprono un singolo scenario. Le impostazioni della jail stabiliscono l'intervento quando viene rilevato un attacco sulla base di un filtro predefinito (un gruppo di una o più espressioni regolari per il monitoraggio dei registri). Per maggiori informazioni, vedere Gestione di Jail di Fail2Ban .

Nota:Per utilizzare Fail2Ban, gli amministratori che eseguono l'aggiornamento da Plesk 11.5 devono ottenere una nuova chiave di licenza Plesk Onyx direttamente da Plesk o dal proprio fornitore.

Configura Plesk in modo che escluda automaticamente gli indirizzi IP e le reti che generano traffico maligno:

  1. Vai a   Strumenti e impostazioni  >  > Esclusione indirizzo IP (Fail2Ban)  (nel gruppo   Sicurezza  ). Il componente Fail2Ban deve essere installato sul tuo server.
  2. Seleziona la casella di controllo Abilita rilevamento intrusione. In questo modo si attiva il servizio Fail2Ban.
  3. Specificare le seguenti impostazioni:
    • Periodo di proibizione di indirizzi IP– intervallo di tempo in secondi durante il quale un indirizzo IP è proibito. Quando questo periodo sarà passato, l'indirizzo IP viene automaticamente accettato.
    • Intervallo di tempo per il rilevamento di attacchi successivi- l'intervallo di tempo in secondi durante il quale il sistema calcola il numero di tentativi di accessi non riusciti e altre azioni non desiderate da un indirizzo IP.
    • Numero di errori prima che l'indirizzo IP sia proibito– il numero di tentativi di accesso non riusciti dall'indirizzo IP.
  4. Fare clic su OK.

Tutte le jail di Fail2Ban attive saranno usate per monitorare i file di log e per proibire gli indirizzi IP sospetti.

IP_Address_Banning

Fail2Ban in Plesk ha le seguenti limitazioni e peculiarità:

  • Fail2Ban non deve essere riavviato manualmente come un servizio Plesk, poiché si perderanno tutti i dati statistici accumulati, inclusi gli indirizzi IP correntemente proibiti.
  • Fail2Ban non offre protezione contro gli autori di attacchi con un indirizzo IPv6. Fail2ban in Plesk si basa unicamente su IP (senza ricerche di nome host) a meno che non sia riconfigurato.
  • Fail2Ban non può proteggersi contro gli attacchi di forza bruta distribuiti, poiché identifica gli intrusi dal loro indirizzo IP.
  • Se la tua istanza di Plesk è installata su un VPS, il limite dei registri iptables VPS ( numiptent) potrebbe incidere sul funzionamento di Fail2Ban. Quando questo limite sarà oltrepassato, Fail2Ban smetterà di funzionare correttamente e nel registro di Fail2Ban verrà mostrata una riga simile a questa:
    fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
    In questo caso, contattare il fornitore di hosting VPS per risolvere il problema.
  • Se Fail2Ban era installato sul tuo server prima di effettuare l'upgrade a Plesk Onyx, il pacchetto verrà sostituito dal pacchetto Fail2Ban di Plesk. Se il pacchetto già installato è più recente di quello fornito con Plesk, l'aggiornamento potrebbe non riuscire. Le jail esistenti non saranno sovrascritte e potrai gestirle in Plesk insieme alle jail di Plesk Onyx.

Se un indirizzo IP non deve essere bloccato:

  1. Vai a   Strumenti e impostazioni  >  Esclusione indirizzo IP (Fail2Ban)  > Indirizzi IP attendibili  > Aggiungi IP attendibile.
  2. Nel campo Indirizzo IP, fornisci un indirizzo IP, un intervallo IP o un nome host DNS e fai clic su OK.

Puoi visualizzare e scaricare i file di registro Fail2Ban in   Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) >scheda Registri  .

È possibile visualizzare la lista di Indirizzi IP esclusi, riammetterli o spostarli nella lista di indirizzi attendibili in  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) >scheda Indirizzi IP esclusi  .

È possibile visualizzare la lista di Indirizzi IP che non saranno mai esclusi, aggiungere o rimuovere indirizzi IP a/da questa lista in Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban)> Indirizzi IP attendibili  .

In questa sezione:

Gestione di Jail di Fail2Ban

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.