ブルートフォース攻撃からの防御(Fail2Ban)

IP アドレスによるアクセス制限(Fail2Ban)によって、サーバをブルートフォース攻撃から自動的に保護することができます。Fail2Ban は、正規表現を使用してログファイルを監視し、認証の失敗に相当するパターン、エクスプロイト、その他の疑わしいエントリを探します。ログエントリ数をカウントし、あらかじめ設定した値に達すると、Fail2Ban は通知メールを送信するか、事前定義された期間にわたって攻撃者の IP をアクセス制限します。アクセス制限期間が終了すると、IP アドレスによるアクセス制限は自動的に解除されます。

Fail2Ban のロジックは多数の jail によって決定されます。jail とは、個別のシナリオをカバーするルールのセットです。jail の設定によって、事前定義されたフィルタ(ログの監視に用いられる 1 つ以上の正規表現のセット)が攻撃を検出した場合にどのような処理を行うかが決まります。詳しくは、「Fail2Ban jail 管理」を参照してください。

注: Plesk 11.5 からアップグレードした場合、Fail2Ban を使用するためには、Plesk Onyx 用の新規ライセンスキーを Plesk またはベンダーから入手する必要があります。

Plesk をセットアップして、悪意あるトラフィックを生成している IP アドレスやネットワークを自動的に制限するには:

  1.  [ツールと設定] > [IP アドレスによるアクセス制限(Fail2Ban)] ( [セキュリティ] グループ内)に進みます。Fail2Ban コンポーネントは、サーバにインストールする必要があります。
  2. [侵入検知を有効化]チェックボックスをオンにします。これにより Fail2Ban サービスが起動します。
  3. 以下の設定を指定します。
    • IP アドレスのアクセス制限期間:ある IP アドレスがアクセス制限される期間(秒)。この期間が終了すると、当該 IP アドレスのアクセス制限は自動的に解除されます。
    • 攻撃を検知する期間:ある IP アドレスからのログインの失敗やその他の望ましくないアクションの回数をカウントする期間(秒)。
    • IP アドレスがアクセス制限される失敗回数:ある IP アドレスからのログインを失敗できる回数。
  4. [OK]をクリックします。

これで、アクティブな Fail2Ban jail をすべて使用してログファイルの監視と疑わしい IP アドレスのアクセス制限が行われるようになります。

IP_Address_Banning

Plesk での Fail2Ban には、以下のような制約や特徴があります。

  • Fail2Ban は Plesk サービスとして手動で再起動しないでください。手動で再起動すると、現在禁止されている IP アドレスなど、これまでに蓄積された統計データがすべて失われてしまうためです。
  • Fail2Ban は IPv6 アドレスを使用する攻撃者には対応できません。Plesk の Fail2ban は、構成を変更しない限りホスト名のルックアップは行わず、IP アドレスにのみ依存します。
  • Fail2ban は IP アドレスによって侵入者を識別するため、分散ブルートフォース攻撃に対する防御はできません。
  • Plesk を VPS にインストールしている場合は、VPS iptables レコードの上限(numiptent)が Fail2Ban の機能に影響を与える可能性があります。この上限を超過すると、Fail2Ban が正しく機能しなくなり、Fail2Ban ログに以下のような行が記録されます。
    fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
    このような場合は、VPS ホスティング事業者まで問題を解決するよう依頼してください。
  • Plesk Onyx にアップグレードする前に Fail2Ban をサーバにインストールしていた場合、パッケージが Plesk の Fail2Ban パッケージに置き換えられます。Plesk に付属するパッケージより新しいパッケージがインストールされていた場合は、アップグレードが失敗する可能性があります。既存の jail は上書きされず、Plesk Onyx の jail とともに Plesk で管理することができます。

特定の IP アドレスをブロックしたくない場合:

  1.  [ツールと設定] > [IP アドレスによるアクセス制限(Fail2ban)] >[信頼できる IP アドレス] >[信頼できる IP を追加]に進みます。
  2. [IP アドレス]フィールドに IP アドレス、IP 範囲、または DNS ホストを入力して、[OK]をクリックします。

Fail2Ban ログファイルの表示やダウンロードを行うには、 [ツールと設定]>[IP アドレスによるアクセス制限(Fail2ban)]>[ログ] タブに進みます。

アクセス制限されている IP アドレスの一覧を表示したり、アクセス制限を解除したり、アクセス制限されているアドレスの一覧から信頼できるアドレスの一覧へ移動するには、 [ツールと設定]>[IP アドレスによるアクセス制限(Fail2ban)]>[アクセス制限中の IP アドレス] タブに進みます。

禁止されていない IP アドレスの一覧を表示したり、この一覧に IP アドレスを追加/削除するには、[ツールと設定]>[IP アドレスによるアクセス制限(Fail2ban)]>[信頼できる IP アドレス] タブに進みます。

このセクションの内容:

Fail2Ban jail 管理