Protéger son serveur en utilisant Fail2Ban

Date: 24/02/2012 | Catégories: Open-source,Planet-libre,Reseau,Systeme,Web | Tags: ,,,,

Comme toutes les machines exposées au réseau Internet, mon serveur Web est continuellement la cible de tentatives d'attaques basiques de type brute force et DOS. J'avais déjà abordé le sujet sous la forme de billets tel que "Sécuriser son blog WordPress" ou "Détection des attaques DOS/DDOS avec Nagios". Nous allons aujourd'hui parler d'une solution de protection active se déclenchant automatiquement lors d'une de ces attaques: Fail2Ban.

Comment marche Fail2Ban ?

Développé en langage Python, Fail2Ban est un logiciel libre permettant d'analyser des fichiers de logs et de déclencher des actions si certaines choses suspectes sont détectées. La grande force de Fail2Ban est sa grande modularité que cela soit au niveau des mécanismes de détections basées sur les expressions régulières ou sur les actions à mener qui peuvent aller de l'expédition d'un mail à la mise en place de règles de Firewall.

Fail2Ban se base sur un système de prisons (jails) que l'on peut définir, activer ou désactiver dans un simple fichier de configuration (/etc/fail2ban/jail.conf).

Une prison (jail) est composée, entre autres, des éléments suivants:

  • Nom du fichier de log à analyser.
  • Filtre à appliquer sur ce fichier de log (la liste des filtres disponibles se trouve dans le répertoire /etc/fail2ban/filter.d). Il est bien sûr possible de créer ses propres filtres.
  • Paramètres permettant de définir si une action doit être déclenchée quand le filtre correspond ("match"): Nombre de "matchs" (maxretry), intervalle de temps correspondant (findtime)...
  • Action à mener si nécessaire. La liste des actions se trouve dans le répertoire /etc/fail2ban/action.d. Il est également possible de créer ses propres actions.

Installation de Fail2Ban

On commence par installer Fail2Ban sur son système. Il se trouve dans la grande majorité des distributions GNU/Linux et BSD. par exemple pour l'installer sur une machine Debian 6, il suffit de saisir la commande suivante (en root ou bien précédée d'un sudo):

Protection contre les attaques "brute force" SSH

Un exemple étant toujours plus parlant, nous allons configurer notre Fail2Ban pour bloquer automatiquement les adresses IP des machines essayant des attaques de type "brute force" sur notre port SSH (cette attaque est à la portée de n'importe quel "neuneu". On trouve de très bon tutoriaux sur le sujet sur le net).

Si une machine cliente échoue 3 fois de suite lors de la saisie du couple login/password sur le serveur SSH alors on bloque l'accès au port TCP/SSH pendant 15 minutes. On analyse pour cela le fichier de log /var/log/auth.log en lui appliquant le filtre /etc/fail2ban/filter.d/sshd.conf puis, si nécessaire, l'action /etc/fail2ban/action.d/iptables.conf. La définition de cette prison (jail) est à faire dans le fichier /etc/fail2ban/jail.conf:

Un fois le filtre activé en relançant Fail2Ban avec la commande (en root):

On peut rapidement voir son efficacité en regardant le fichier de log (par défaut sous /var/log/fail2ban.log):

Protection contre les attaques DOS (HTTP/GET)

Dans ce deuxième exemple nous allons voir comment lutter efficacement contre les attaques de type DOS ciblant vos serveurs Web. Ces attaques se caractérisent par un nombre inhabituel de requêtes HTTP venant d'un même client (du moins d'une même adresse IP source).

Le plus difficile est de trouver les bons paramètres correspondants à un comportement "inhabituel". Dans l'exemple suivant, je considère comme "inhabituel" le fait qu'un client effectue plus de 360 requêtes en 2 minutes (soit une moyenne de supérieurement à 3 req/sec) sur mon serveur Web. Dans ce cas, je bloque l'accès au port HTTP pendant une durée de 10 minutes.

La prison (jail) correspondante est la suivante (à ajouter dans votre fichier /etc/fail2ban/jail.conf):

En regardant de plus près cette prison, on remarque qu'elle utilise en entrée le fichier de log au format NCSA généré par le système de cache Varnish que j'utilise en frontal sur mes serveurs Web (/var/log/varnish/varnishncsa.log). Il est bien sûr possible d'utiliser directement le log de votre serveur Apache ou Nginx. Le filtre http-get-dos n'est pas fourni par défaut. Il faut donc éditer le fichier /etc/fail2ban/filter.d/http-get-dos.conf avec le contenu suivant:

Enfin, en cas de "match", on applique deux actions:

  1. blocage du port HTTP avec l'action iptables définie dans /etc/fail2ban/action.d/iptables.conf
  2. envoie d'un mail signalant le blocage avec l'action mail-whois-lines. L'adresse du mail est défini dans la variable destemail à modifier dans le fichier jail.conf.

Un fois le filtre activé:

On peut regarder le fichier de log (/var/log/fail2ban.log)...:

... et/ou attendre la réception des mails:

Conclusion

Ce billet est une simple introduction à l'utilisation de Fail2Ban qui peut être configuré de manière beaucoup plus personnalisé et en fonction de vous besoins. Si vous avez d'autres exemples d'utilisation, les commentaires ci-dessous sont fait pour cela !