Fail2Ban Kullanarak Port Taramaların Tespit Edilip Engellenmesi

Güvenlik amacıyla her sisteme dahil ettiğimiz Fail2Ban uygulaması aracılığı ile Port taramalarını çok kolay bir şekilde tespit edebiliriz, buradaki olay şu

  • Aktif olmayan bir porta istek geliyor mu? geliyorsa ne yapılacak

Normalde kapalı portlara kimse ilişip gelmez ve istek atmaz. İşte bu noktada port taraması yapıldığını anlar gerekli aksiyonu basit bir şekilde alabiliriz.

Öncelikli yapacağımız /etc/fail2ban/filter.d yoluna yeni filtreyi tanımlamak ben bunu sizin için hem iptables hem ufw için vereceğim.

UFW

[Definition]
failregex = .*\[UFW BLOCK\] IN=.* SRC=<HOST>
ignoreregex =

IPTABLES

[Definition]
failregex = PORT DENIED: .* SRC=<HOST>  
ignoreregex =

Ardından tespit edildikten sonra ne yapılması gerektiğini seçiyoruz, bu noktada erişimlerini firewall üzerinden kesmeniz iyi olacaktır. Tanımlamayı /etc/fail2ban/action.d içerisine yapıyoruz.

UFW

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw deny in from <ip>
actionunban = ufw delete deny in from <ip>

IPTABLES

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = iptables -I INPUT -s <ip> -j DROP
actionunban = iptables -D INPUT -s <ip> -j DROP

İşlemden hemen sonra bu korumamızı aktif etmek için /etc/fail2ban yolunda yer alan jail.conf düzenliyoruz.

UFW için

[portscan]
enabled  = true
filter   = portscan
logpath  = /var/log/ufw.log
action   = ufw
maxretry = 3
bantime  = 900

IPTABLES için

[portscan]
enabled  = true
filter   = portscan
logpath  = /var/log/messages
action   = iptables
maxretry = 3
bantime  = 900

Sistem Uzmanı, Linux Hacısı, El-Kernel

Yorum yapın