Eine der häufigsten Arten von Hackerangriffen unter den DDoS-Angriffen ist der Brute-Force-Angriff. Dabei führen Hacker ein Skript aus, das eine Liste mit Millionen von möglichen Passwörtern enthält, die in Rekordzeit durchlaufen werden. Die häufigsten Ziele solcher Angriffe sind der Diebstahl persönlicher Daten, die Verwendung Ihrer Daten für Phishing, die Rufschädigung Ihres Unternehmens und die Kompromittierung Ihrer Website. Die meisten Unternehmen, die einen erfolgreichen Angriff dieser Art erleben, schließen innerhalb von etwa sechs Monaten. Ein Brute-Force-Angriff lässt sich daran erkennen, dass die Auslastung Ihres Servers durch den Zustrom von Post-Anfragen steigt oder dass fehlgeschlagene Anmeldeversuche von einer IP-Adresse aus erfolgen. Lassen Sie uns nun darüber sprechen, wie Sie solche Website-Verstöße verhindern können.
Installation von VPS Fail2Ban
Für VPS ist Fail2Ban eine Software, die speziell zum Schutz Ihres Servers entwickelt wurde, indem sie Muster erkennt, die einem Angriff ähneln könnten, und zwar auf Ihre Dienste und Server. Wenn der Angriff aktiv stattfindet, sperrt die Software die Ursprungs-IP. Ein aktiver Angriff kann als wiederholte fehlgeschlagene Anmeldeversuche auf Ihren Servern über das SSH-Protokoll mit unterschiedlichen Benutzernamen und Passwörtern erkannt werden. Sehen wir uns nun Schritt für Schritt den Prozess der Installation von Fail2Ban auf Ubuntu 16.04 an:
Um das Schutzprogramm unter Debian/Ubuntu zu installieren, müssen Sie folgende Befehle ausführen:
sudo apt-get update
sudo apt-get install fail2ban -y
Nach der Installation befindet sich die Standardkonfigurationsdatei unter /etc/fail2ban/jail.conf. Damit die Software für Ihre Umgebung geeignet ist, müssen Sie diese Datei bearbeiten. Darüber hinaus müssen Sie die Dienste, die auf Ihrem Server ausgeführt werden, einzeln festlegen, indem Sie die Liste durchgehen, da jeder Dienst einen eigenen Abschnitt hat.
Fail2Ban konfigurieren
Um die Datei zu öffnen und zu konfigurieren, müssen Sie folgende Befehle ausführen:
sudo get-apt install nano
sudo nano /etc/fail2ban/jail.conf
Das SSH-Protokoll ist standardmäßig geschützt und aktiviert. Ohne weitere Änderungen Ihrerseits wird jeder, der versucht, sich mit Brute-Force-Angriffen Zugang zu Ihrer Website zu verschaffen, nach 6 Versuchen gesperrt oder gebannt. Da die Standard-Protokollports durch Fail2Ban geschützt sind, müssen alle Dienste, die auf Ihrem Server für die Verwendung von Nicht-Standard-Ports konfiguriert sind, mit der neuen Portnummer für den Dienst angegeben werden.
Nehmen wir an, Sie ändern Ihre Portnummer von 33 auf 3333. Dies muss in der Konfiguration definiert werden:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Alle anderen Dienste sind zwar konfiguriert, aber noch nicht aktiviert. Das erkennen Sie an dem Wert „false“ unter dem Status „enabled“. Um dies zu ändern, setzen Sie den Wert einfach auf „true“.
Die Erklärung der Konfiguration lautet wie folgt:
• Enabled – Fail2Ban kann den Server überwachen.
• Port – Portnummer des zu überwachenden Dienstes. Wenn eine andere als die Standardportnummer verwendet wird, muss diese in der Konfiguration angegeben werden.
• Filter – Die Regel und die Zeichenfolgenliste, anhand derer Fail2Ban feststellt, ob ein bestimmter Dienst angegriffen wird.
• Logpath – Standardmäßig ist dies die Datei auth.log, in der alle Protokolle gespeichert werden. Wenn diese geändert wird, muss dies ebenfalls in der Konfiguration angegeben werden.
Mit diesen grundlegenden Richtlinien sollten Sie in der Lage sein, Ihre Fail2Ban-Richtlinien auf Ihrem Server zu konfigurieren. Dies ist eine hervorragende Möglichkeit, sich vor den häufigsten Angriffen zu schützen.