Защита от брутфорс-атак (Fail2Ban)

Блокировка IP-адресов (Fail2Ban) - это автоматизированный способ защитить ваш сервер от атак методом перебора (брутфорс). Используя регулярные выражения, Fail2Ban проверяет файлы журналов на различные подозрительные ошибки.

Если тот или иной IP-адрес делает слишком много попыток входа за указанный администратором период, то этот IP-адрес временно блокируется. Кроме того, Fail2Ban может обновлять правила брандмауэра и отправлять почтовые уведомления. По окончании периода блокировки IP-адрес автоматически разблокируется.

Примечание. Чтобы использовать Fail2Ban, администраторам, обновляющим Plesk с версии 11.5, необходимо приобрести новый ключ лицензии для Plesk 12 у компании Odin или своего поставщика.

Чтобы настроить блокировку IP-адресов и сетей, создающих вредоносный трафик для вашего сервера:

1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  (в разделе  Безопасность ). Нужно установить компонент Fail2Ban на ваш сервер.
2. Поставьте галочку Включить обнаружение атак.
3. Укажите следующие параметры:
   • Период блокировки IP-адреса - период времени в секундах, на который будет заблокирован IP-адрес. По окончании этого периода IP-адрес автоматически разблокируется.
   • Интервал обнаружения последующих атак - интервал времени в секундах, в течение которого система подсчитывает количество безуспешных попыток входа и других нежелательных действий со стороны того или иного IP-адреса.
   • Допустимое количество неудачных попыток входа перед блокировкой IP-адреса - количество неудавшихся попыток входа со стороны IP-адреса.
4. Нажмите OK.

Теперь все активные джейлы Fail2Ban будут использоваться для мониторинга файлов журналов и блокировки подозрительных IP-адресов.

Использование Fail2Ban в Plesk имеет следующие особенности и ограничения:

• Не перезапускайте Fail2Ban вручную, как службу Plesk, так как это приведет к потере всей собранной статистики, включая заблокированные на данный момент IP-адреса.
• Fail2Ban не дает защиты от атак с IPv6-адресов. Fail2ban в Plesk, если его не перенастраивать, ориентируется только на IP-адреса (без преобразования имени хоста).
• Fail2Ban не защищает от распределенных атак методом перебора, так как идентифицирует злоумышленников по IP-адресам.
• Если у вас Plesk установлен на VPS, ограничение количества записей в iptables на VPS (numiptent) может повлиять на работу Fail2Ban. При превышении этого ограничения работа Fail2Ban будет нарушена, а в журнале Fail2Ban появится подобная запись:
  fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
  В этом случае для решения проблемы обратитесь к своему провайдеру хостинга VPS.
• Если у вас на сервере Fail2Ban был установлен до обновления до версии Plesk 12, его пакет будет заменен пакетом Fail2Ban из Plesk. Если версия вашего установленного пакета выше версии, поставляемой с Plesk, это может помешать обновлению. Существующие джейлы не будут переписаны, и вы сможете управлять ими через Plesk наряду с джейлами из Plesk 12.

Чтобы предотвратить блокировку конкретного IP-адреса:

1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  > Надежные IP-адреса  > Добавить надежный IP-адрес.
2. В поле IP-адрес введите IP-адрес, диапазон IP-адресов или имя узла DNS и нажмите OK.

Файлы журналов Fail2Ban можно посмотреть и скачать на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Журналы .

Посмотреть список заблокированных IP-адресов, разблокировать их или перенести в список надежных можно на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Заблокированные IP-адреса .

Посмотреть список IP-адресов, которые никогда не будут заблокированы, а также добавить или удалить IP-адрес из этого списка можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса .