Fail2Ban – zlyhaj a sedíš!

21. 5. 2014 | Juraj Remenec | Návody | 12118×

Chcel by som sa v krátkosti povenovať pomerne známemu no prekvapivo málo medializovanému nástroju pre zvýšenie bezpečnosti v Posix-like systémoch. Skúsení užívatelia tu zrejme nenájdu nič nové na rozdiel od tých, ktorí tento nástroj ešte nepoznajú.

Nedávno som mal možnosť nahliadnuť do záznamov smerovača jedného z väčších firiem, ktoré v internej sieti používajú mnoho lákadiel v podobe otvorených a úplne nezabezpečených SSH serverov. Z množstva konektov na jeden konkrétny port bolo zrejmé, že sa tu konajú denné súťaže na tému “kto skôr uhádne” no a cieľové stroje im v tomto vychádzali viac než v ústrety.

Každý správca servera sa už určite stretol s “Brute-force” útokom na nejakú z jeho služieb. Postup, metodiku a popisovať, v čom spočíva taký útok, je mimo hranice tohto článku. V dnešnej dobe netrvá príliš dlho, kým sa z nenápadného stroja na internete na úplne neznámej adrese stane pieskovisko pre všetky internetové boot-y skúšajúce sa dostať dovnútra cez každý otvorený port. Tým najčastejšie vyhľadávaným je napríklad aj spomínaný Secure shell (port 22), ale pozornosti sa nevyhnú ani služby ako ftp (21), http(s) (80,443), smtp (25) a ďalšie. Umiestniť službu na iný, neštandardný port je len dočasné riešenie schopné odolávať len prvej vlne záškodníkov. Navyše, nie pri každej službe to je z technických príčin takto možné.

Fail2Ban je bezpečnostnou medzi-vrstvou vo Vašom systéme. Nie je tu aby vyriešil Vaše problémy s týmto druhom útoku. Tieto veci si je vždy lepšie vyriešiť buď priamo na úrovni daných, bežiacich služieb, alebo za pomoci externých zariadení či softwaru (VPN, Firewall, IPSec a kopec ďalšieho). Keď ste však nútení ponúknuť služby servera širokej verejnosti a zároveň sa chcete zbaviť ľudí útočiacich na ne, môže byť Fail2ban tým, čo Vám pomôže udržať stroj v prevádzke a relatívne v bezpečí.

Pýtate sa ako? No jednoducho tak, že odníme prístup útočníkovej IP adresy k danej službe – „uväzní jeho IP adresu“.

Obsah

• Odkiaľ, koľko a ako?
• Ako to funguje?
• Príklad...
• Overenie, klientska časť a un-jail
• Naše prvé vlastné pravidlo
• Možné limitácie
• Záver

Odkiaľ, koľko a ako?

Domovská stránka projektu sa nachádza na http://www.fail2ban.org a v dobe písania tohto článku sa program nachádzal vo verzií 0.8.x. Program je založený na jazyku Python, takže k jeho funkčnosti potrebujete minimálne verziu 2.4 a vyššie. Ďalšie požiadavky sa už líšia len v závislosti na konfigurácií Vášho systému (netfilter/iptables, shorewall, ipset a pod.).

Dnes už väčšina väčších distribúcií podporuje a ponúka program priamo zo svojich repozitárov. Jeho inštalácia je v tomto prípade veľmi jednoduchá.

# Debian-like systemy, Ubuntu, Mint a dalsie…
apt-get install fail2ban
# Gentoo
emerge fail2ban
# Fedora, CentOS
yum install fail2ban

V prípade, že si potrpíte na ručnú inštaláciu (hovorím tomu „komplikovanie“ si života), prejdite na download sekciu stránky s programom, stiahnite si ho a:

tar xvjf fail2ban-x.x.x.tar.bz2
./setup.py install

Fail2ban by sa mal týmto krokom sám skopírovať aj do /usr/share/fail2ban a /usr/bin. Taktiež skontrolujte prítomnosť adresára s konfiguračnými súbormi v /etc/fail2ban.

Keďže ja na svojich systémoch používam prevažne len distribúciu Debian a v nej iptables, budem v nasledovných riadkoch popisovať možnosti programu hlavne pre túto konfiguráciu.

Ako to funguje?

Fail2ban je obyčajný „log parser“, ktorý v 1 sekundových intervaloch pokukuje po systémových logoch a pri zaregistrovaní nezvyčajnej aktivity, na základe podmienok, ktoré v ňom zadefinujete, dôjde k zavedeniu nejakého (väčšinou DROPovacieho) pravidla do iptablesu. Hlavná obrana servera teda spočíva v tom odňať prístup ku konkrétnej službe.

Veľmi jednoducho napísané ale ako neskôr zistíte, možnosti konfigurácie môžu zahŕňať aj kopec iných akcií od odoslania mailu, SMSiek, zhodenia danej služby až po automatickú samo deštrukciu servera

Konfigurácia programu sa skladá z troch hlavných častí. Z filtrov, jailov (väzení) a akcií.

Filtre – obsahujú prevažne regulárne výrazy ktoré hovoria čo konkrétne má program v logoch hľadať. V momente keď v systémovom logu dôjde k udalosti, ktorá povedie k rovnosti s výrazom vo filtroch, spúšťa sa vo fail2ban celý sled ďalších udalostí. Konfigurácie všetkých filtrov nájdeme pod adresárom /etc/fail2ban/filter.d

Akcie – Obsahujú celé skripty alebo len príkazy, ktoré sa spúšťajú pod hlavičkou fail2ban (mimochodom s právami roota), keď dôjde k zhodnosti v nejakom z filtrov. Toto je miesto, kde môžete naplno presadiť svoju fantáziu a rozhodnúť čo spravíte s hriešnikom, ktorý obťažuje Vaše systémové zdroje. Konfiguráky umožňujú zadať vlastné akcie pri rôznych stavoch. Pri zachytení, banovaní, ukončení fail2banu, checkovaní a mnoho ďalších. Práve na tomto mieste sa môžete rozhodnúť či na reštrikcie použijete iptables, netfilter alebo zavediete pravidlo do shorewallu, pošlete maila alebo si jednoducho poviete, že „Aj tak ma nedostanú!!” a následne “shred /dev/sdX”. Konfigurácie akcií sa nachádzajú v /etc/fail2ban/action.d

Jail (trestnica/väzenie/žalár) – Aj keď preklad tohto slova viac používa slovo väznica alebo žalár (a prispôsobil som tomu aj názov článku) mne sa najviac páči možný výklad slova ako – „trestnica“ (trestná lavička?). Je to konfiguračný súbor a nachádza sa v /etc/fail2ban/jail.conf. Ak by filtre boli bezpečnostné zložky a action.d výkon trestu, tak jail je jednoznačne súdna moc (úvaha autora úplne od veci). Takže je to akýsi poriadok v chaose, ktorý môžu filtre generovať. Jail.conf je práve to miesto, ktoré Vám umožní rozlíšiť záškodníka od užívateľa nevediaceho napísať svoje heslo. Definujete si tu „väznice“ do ktorých sa dostane zdrojová IP adresa zakaždým, keď splní podmienky pre vstup. Ku každej väznici definujete monitorovacie porty ktoré k nej prislúchajú, systémové logy ktoré sú pod  drobnohľadom a filtre ktoré sa na túto službu vzťahujú. Nájdeme tu ale aj zoznam adries ktoré podliehajú výnimke v monitorovaní.

Fail2ban prichádza s množstvom pred-konfigurovaných „Jailov“ a filtrov. Nie je teda potrebné sa nijak zvlášť venovať ich konfigurácií. Stačí len vojsť do jail.conf a povoliť niektoré ďalšie. Okrem kontroly chybných prihlásení k SSH tu môžeme aktivovať napríklad kontrolu mailového systému (nie len postfixu) na „Relay access denied“, Apache na kontroly od chybnej autorizácie (mod_auth) cez 404, bad bootov až po overflow alebo si jednoducho pridáme svoje ďalšie.

Príklad...

Teraz pre nedočkavcov. Pokiaľ vo svojom /var/log/auth.log vidíte niečo takéto:

Tak si môžete byť istí, že sa nejedná o vašu kolegyňu, ktorá si zabudla heslo od svojej poštovej schránky doma na lístočku. Pozrime sa teda, čo s takouto situáciou urobí Fail2ban.

Najprv nazrieme do jail.conf aby sme sa uistili, že to vôbec bude fail2ban nejak riešiť.

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4

Každý jail začína sekciou a tá je pomenovaná (väčšinou) podľa služby, ktorej sa týka. V tomto prípade je to [ssh].
enabled = true (true || false) – aktivuje alebo deaktivuje daný jail a kontrolu naň. SSH sa inštaluje so spustenou kontrolou na tento konkrétny jail. Ostatné nájdete buď za po známkované alebo deaktivované.
port = ssh – Port na ktorom služba sedí. Je možné uviesť číselný údaj alebo názov služby tak, ako sú uvedené aj v /etc/services. Je možné uviesť aj viac portov a oddeliť ich čiarkou (napr: http,https).
filter = sshd – je meno filtra, ktorý sa nachádza pod zmieňovaným adresárom /etc/fail2ban/filter.d a ktorý pomáha správne identifikovať chybovú udalosť zo sledovaného logu:
logpath = /var/log/auth.log – log súbor, do ktorého sa zaznamenávajú chybné prihlásenia čo sa sshd týka a ktorý je pod analýzou fail2ban.
maxretry = 4 – počet „pokusov“, ktoré sú na hranici tolerovania. Po presiahnutí tohto čísla nastupujú na scénu /etc/fail2ban/action.d, ktoré sú taktiež definované v jail.conf vo voľbe banaction = iptables-multiport.
Na rozdiel od predošlých volieb môžeme niektoré definovať aj mimo sekciu a v takom prípade sa ako globálne aplikujú štandardne na každú z nich. Nič však nebráni pre každú väznicu aplikovať vlastnú akciu.

Ďalšími voľbami, ktoré v jail.conf ešte určite stoja za povšimnutie sú globálne (ale taktiež vsunuteľné do jednotlivých sekcií):

ignoreip = 127.0.0.1 – obsahuje zoznam ip adries ktoré budú ignorované na kontrolu.
bantime = 1382400 (v sekundách) – doba, počas ktorej bude útočníkova IP adresa uvrhnutá do jailu/blokovaná. Uvádza sa v sekundách. Po uplynutí tejto doby je IP adresa opäť vyňatá z jailu a komunikácia sa znova odblokuje. Múdri ľudia tvrdia, že ak v tejto voľbe uvediete negatívnu hodnotu bude ip adresa blokovaná permanentne. Neskúšal som.
findtime = 600 (v sekundách, defaultná hodnota ak nie je uvedené) je časový úsek, na ktorý fail2ban reaguje. Inak povedané ak od poslednej chybovej hlášky (ktorej počet nepresiahol maxretry) prejde 600 sekúnd, počíta sa od znova.

Pri pohľade do /etc/fail2ban/filter.d/sshd.conf nájdeme zoznam regulárnych výrazov, na ktoré sa log testuje:

failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from \s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from \s*$
            ^%(__prefix_line)sFailed (?:password|publickey) for .* from (?: port \d*)?(?: ssh\d*)?$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM \s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from \s*$
            ^%(__prefix_line)sUser .+ from  not allowed because not listed in AllowUsers$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(\)\s*$
            ^%(__prefix_line)sAddress  .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
            ^%(__prefix_line)sUser .+ from  not allowed because none of user's groups are listed in AllowGroups\s*$

V našom prípade je zrejmé, že tretí riadok korešponduje s chybovým stavom v našom logovacom súbore. V súvislosti s uvedeným je jasné, že na scénu nastupuje akcia v /etc/fail2ban/action.d/iptables-multiport.conf a to:

# Option:  actionban 
# Notes.:  command executed when banning an IP.
actionban = iptables -I fail2ban- 1 -s  -j DROP

Do nášho iptablesu pribudne pravidlo, ktoré dropne každý jeden paket z útočníkovej ip adresy a služba sa tak stáva nedostupnou na dobu uvedenú vo voľbe bantime. Efekt? Buď to dotyčného prestane baviť alebo ak sa budú útoky opakovať naďalej, Vám ako správcovi to dáva čas rozumne zvážiť možnosť trvalej blokácie danej adresy.

Overenie, klientska časť a un-jail

Po jednej noci spusteného fail2ban je naj-jednoduchšou cestou ako zistiť, či sa nejaký „Číňan“ chytil do pasce jednoduchá. Od nazretia do logu v /var/log/fail2ban.log až po reálny výpis.

$ iptables –L 
....
Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  129.121.32.80 	anywhere
DROP       all  --  129.121.32.75 	anywhere
DROP       all  --  129.121.32.12 	anywhere
DROP       all  --  62.125.111.12 	anywhere
RETURN     all  --  anywhere             anywhere
....

Fail2ban obsahuje okrem tej serverovej časti aj klientsku, ktorá zjednodušuje prístup k práve bežiacej konfigurácií a umožňuje ju meniť bez nutnosti program reštartovať a prísť tak o aktuálne uložené jaily. Skúsime sa teda k zoznamu uložených jailov dostať cez klientsku časť.

Najprv si pozrieme zoznam dostupných jailov (ak nie sme na vlastnom):

$fail2ban-client status
Status
|- Number of jail:      2
`- Jail list:           ssh, dovecot

Následne vykonáme výpis zabanovaných IP adries na konkrétnom jaily:

$fail2ban-client status ssh
Status for the jail: ssh
|- filter
|  |- File list:        /var/log/auth.log
|  |- Currently failed: 4
|  `- Total failed:     21
`- action
   |- Currently banned: 4
   |  `- IP list:       129.121.32.80 129.121.32.75 129.121.32.12 62.125.111.12
   `- Total banned:     4

V prípade, že chceme niektorého neprávom zavrhnutého klienta opäť povoliť, máme k dispozícií niekoľko možností. Začnem tými najfunkčnejšími:

$iptables –L –-line-numbers
....
Chain fail2ban-ssh (1 references)
target     prot opt source               destination
1 DROP       all  --  129.121.32.80 	anywhere
2 DROP       all  --  129.121.32.75 	anywhere
3 DROP       all  --  129.121.32.12 	anywhere
4 DROP       all  --  62.125.111.12 	anywhere
RETURN     all  --  anywhere             anywhere
....
$iptables –D fail2ban-ssh 1

Alebo

$iptables –D fail2ban-ssh –s 129.121.32.80 –j DROP

V prípade, že chcete použiť klientsku časť, máte k dispozícií tieto dve možnosti:

$fail2ban-client get [MENO-JAILu] actionunban [IP.ADD.RE.SS]
$fail2ban-client set [MENO-JAILu] unbanip [IP.ADD.RE.SS]

Ktorá z nich však bude fungovať, musíte vyskúšať sami. Nakoľko to kvôli zmenám v rôznych verziách dodnes nie je jasné. Takže ja osobne radšej ručne vymažem pravidlo z iptablesu.

Naše prvé vlastné pravidlo

Dlho som premýšľal, aké vlastné pravidlo by sme si mohli urobiť, aby sme si ukázali, aké jednoduché je pridať monitoring aj na nie-systémové služby. Keďže sa veľa točím okolo LAMP riešení, povedal som si, že si ukážeme nejaké pekné možnosti, ako skĺbiť fail2ban s pomerne obľúbeným blog-cms WordPress-om.

To, čo každý WordPress-ak určite pozná a už to neraz riešil, je prílev spam bootov, ktoré bombardujú sekciu s komentármi ku článkom. Samozrejme, dnes už je k dispozícií množstvo pluginov, ktoré sa snažia daný problém riešiť priamo vo WordPresse. Ale poviem to tak, načo venovať či i len štipku výpočtového výkonu na niečo, čo je zrejmé...? A to, že ak z jednej adresy príde v krátkej dobe (rádovo niekoľko sekúnd, max pár minút) niekoľko (možno až desiatky) komentárov – je zrejmé, že nejde o vášnivého diskutéra.

Budeme teda potrebovať maličkú pomoc na strane WordPressu. Plugin, ktorý bude logovať do textového súboru IP adresu zakaždým, keď sa nejaký komentár zaradí medzi spam. Potom vytvoríme vo fail2ban filter, ktorý bude sledovať tento súbor. No a v poslednom rade vytvoríme jail v ktorom nadefinujeme, kde sú hranice vzorného správania sa. Akciu vytvárať nebudeme nakoľko počítam s tým, že používam vo svojom systéme blokovanie prostredníctvom pravidiel v iptables (toto riešenie prišlo spolu s fail2ban. Nemám prečo meniť).

1. Keďže toto je seriál o fail2ban, preskočíme teóriu okolo WP pluginov. Hotový „spam-log“ plugin si môžete stiahnuť z tohto odkazu.
2. Uploadneme spam-log folder do wp-content/plugins adresára.
3. Aktivujeme plugin vo WordPresse a nastavíme umiestnenie, kam sa bude ukladať súbor spam.log. Štandardne sa ukladá do wp-content/spam.log. V prípade, že použijete iné umiestnenie – vytvorte súbor najprv príkazom touch a potom mu nezabudnite priradiť práva pre zápis pre webserver. Vytvoríme si filter pod fail2ban. Presunieme sa pod /etc/fail2ban/filter.d/spam-log.conf a pridáme:

   [Definition]
   failregex = ^\s*comment id=\d+ from host= marked as spam$
   ignoreregex =
   

4. Našou poslednou zastávkou bude /etc/fail2ban/jail.conf

   [spam-log]
   enabled  = true
   port     = http,https
   filter   = spam-log
   logpath  = /cesta/ku/spam.log
   maxretry = 5
   findtime = 3600
   bantime  = 86400
   

Pravidlo je hotové. Reštartujeme fail2ban a od tohto momentu, ako náhle bude zaregistrovaný v rozmedzí 3600 sekúnd POST spamu viac ako 5x – bude dotyčnej IP adrese udelený ban na dobu 86400 sekúnd pri prístupe na port 80 a 443.

Uvedený príklad bol prevzatý a mierne pozmenený z blog.shadypixel.com.

Možné limitácie

Ako som už v úvode spomenul, Fail2ban je obyčajný log-parser, ktorý skenuje zmeny v logoch v 1 sekundových intervaloch. Z tohto riešenia vyplýva určitá limitácia na reakčnú dobu programu. V logoch sa môže za jednu sekundu udiať príliš mnoho. Niektoré služby overujú autentifikáciu a zároveň odpovedajú na úrovni stotín sekundy. Parameter maxretry preto nemusí vždy odrážať maximálny počet pokusov, ktoré útočníkovi povolíte a môže sa vyvolať zdanie, že program nezareagoval načas.

Záver

Okolo programu by ešte bolo čo popísať. Je tu mnoho nastavení čo sa zbierania údajov z logov týka, posielania mailov, testovania reg. výrazov či vytvárania pekných koláčových grafov. Existujú spôsoby, ako mapovať zabanované IP adresy a mať tak prehľad o krajine, z ktorej vás najčastejšie „navštevujú“. Myslím si ale, že by to presahovalo hranice článku pre prvotné sa zoznámenie, a preto si tieto veci nechám v prípade záujmu na budúce.

Na záver sa chcem ešte ospravedlniť za prípadné gramatické a pravopisné chyby ktoré ste našli a unikli mojej pozornosti. Stále sa snažím zlepšovať.

Nástroje: Tisk bez diskuse