ADAPTIVNÍ FIREWALL

Printer-friendly versionSend by email

Jedná se o projekt CZ.NIC, který je podrobně popsán zde a zde. Alternativou je projekt fail2ban, který je dostupný v každé linuxové distribuci (licence GNU GPL).

Fail2ban Wikipedia

Stručný popis funkčnosti
V systému (na serveru) běží démon fail2ban (napsáno v jazyce Python), který registruje změny v předem určených souborech log systému. Pokud nalezne v daném logu předem danou kombinaci textu (např. Invalid user, spoof syn - těch "varovnych vyrazu je celá řada - fali2ban je má předem dané v samostatnych konfiguračních souborech), pak fail2ban vydá pokyn firewallu (integrovaném v jádru linuxu) a firewall IP adresu "útočníka" dočasně zablokuje.
Zároveň fail2ban zašle mailem hlášení adminovi, hlášení obsahuje:

  • IP adresu utočníka
  • Úplný popis IP rozsahu (CIDR) včetně identifikace providera
  • Výpis z logu, kde se vyskytuje IP adresa útočníka

Ukázka hlášení administrátorovi:

Hi,
The IP 109.230.94.54 has just been banned by Fail2Ban after
6 attempts against ssh.
Here are more information about 109.230.94.54:
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '109.230.94.0 - 109.230.94.255'
inetnum: 109.230.94.0 - 109.230.94.255
netname: KFZO
descr: Kish Free Zone Organization
country: IR
admin-c: AV5398-RIPE
tech-c: AV5398-RIPE
status: ASSIGNED PA
mnt-by: mnt-boom
source: RIPE # Filtered
person: Afshin Vafaei
address: Kish Free Zone Organization-Kish Island
phone: +987644422048
nic-hdl: AV5398-RIPE
source: RIPE # Filtered
% Information related to '109.230.80.0/20AS50591'
route: 109.230.80.0/20
descr: Boomerang-Route2
origin: AS50591
mnt-by: MNT-BOOM
mnt-lower: MNT-BOOM
mnt-routes: MNT-BOOM
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.67.4 (WHOIS1)
Lines containing IP:109.230.94.54 in /var/log/auth.log
Aug 7 19:16:36 server sshd[27434]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 7 19:16:36 server sshd[27435]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 7 19:16:36 server sshd[27436]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 7 19:16:36 server sshd[27437]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 8 23:08:56 server sshd[3386]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 8 23:08:56 server sshd[3390]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 8 23:08:56 server sshd[3388]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 8 23:08:56 server sshd[3391]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 8 23:08:56 server sshd[3387]: refused connect from 109.230.94.54 (109.230.94.54)
Aug 8 23:08:56 server sshd[3389]: refused connect from 109.230.94.54 (109.230.94.54)

Regards,
Fail2Ban