Güvenlik amacıyla her sisteme dahil ettiğimiz Fail2Ban uygulaması aracılığı ile Port taramalarını çok kolay bir şekilde tespit edebiliriz, buradaki olay şu
- Aktif olmayan bir porta istek geliyor mu? geliyorsa ne yapılacak
Normalde kapalı portlara kimse ilişip gelmez ve istek atmaz. İşte bu noktada port taraması yapıldığını anlar gerekli aksiyonu basit bir şekilde alabiliriz.
Öncelikli yapacağımız /etc/fail2ban/filter.d
yoluna yeni filtreyi tanımlamak ben bunu sizin için hem iptables hem ufw için vereceğim.
UFW
[Definition]
failregex = .*\[UFW BLOCK\] IN=.* SRC=<HOST>
ignoreregex =
IPTABLES
[Definition]
failregex = PORT DENIED: .* SRC=<HOST>
ignoreregex =
Ardından tespit edildikten sonra ne yapılması gerektiğini seçiyoruz, bu noktada erişimlerini firewall üzerinden kesmeniz iyi olacaktır. Tanımlamayı /etc/fail2ban/action.d
içerisine yapıyoruz.
UFW
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw deny in from <ip>
actionunban = ufw delete deny in from <ip>
IPTABLES
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = iptables -I INPUT -s <ip> -j DROP
actionunban = iptables -D INPUT -s <ip> -j DROP
İşlemden hemen sonra bu korumamızı aktif etmek için /etc/fail2ban
yolunda yer alan jail.conf
düzenliyoruz.
UFW için
[portscan]
enabled = true
filter = portscan
logpath = /var/log/ufw.log
action = ufw
maxretry = 3
bantime = 900
IPTABLES için
[portscan]
enabled = true
filter = portscan
logpath = /var/log/messages
action = iptables
maxretry = 3
bantime = 900