Hướng dẫn sử dụng IP Address Banning

Hướng dẫn sử dụng IP Address Banning

I.Giới thiệu:
·   Fail2ban là một phần mềm được viết trên ngôn ngữ lập trình Python, nó hoạt động để ngăn chặn sự tấn công từ phía bên ngoài và sử dụng iptables và firewall để block các nguồn tấn công. Khi một địa chỉ IP bị phát hiện có dấu hiệu tấn công vào hệ thống, Fail2ban sẽ cập nhật lại firewall và ngăn chặn  không cho IP này tiếp tục tấn công vào hệ thống của bạn
·   Fail2ban là một ứng dụng chạy nền theo dõi log file để phát hiện ra những network đang cố gắng tấn công vào server của bạn và sử dụng firewall rules để chặn những network đó trong một thời gian đã định sẵn trước đó.
·   Fail2ban hoạt động thông qua theo dõi file log của firewall hoặc iptables để lọc ra những nguồn có dấu hiệu khả nghi và chặn chúng. Nó có thể chặn một IP bất kỳ nào đó đã cố gắng truy cập vào hệ thống không thành công nhiều lần trong một thời gian đã được định sẵn từ người quản trị .

II.Kích hoạt Fail2Ban trên Plesk:
Bước 1: Sau khi login vào Plesk Panel, trong phần Tools & Settings chọn IP address Banning (Fail2Ban)

Bước 2: Tại Tab Settings, chú ý các thông số sau:
·   IP address ban period: thời gian sẽ Ban 1 IP nào đó vi phạm vào các rule của Fail2Ban.
·   Time interval for detection of subsequent attacks: Khoảng thời gian tối đa để dò ra cuộc tấn công tiếp theo của cùng 1 IP.
·   Number of failures before the IP address is banned: số lần cố gắng xâm nhập của IP trước khi bị Fail2Ban chặn. Nếu như chúng ta để giá trị này là 2, thì khi hệ thống của bạn bị một network cố gắng xâm nhập vào lần thứ 3 sẽ bị Fail2Ban chặn.

Bước 3: Sau khi đã tùy chỉnh các thông số trên, chọn Enable intrusion detection để kích hoạt Fail2Ban. Cuối cùng chọn OK.
III.Setting Custom Fail2Ban:
1.Custom Jail Rule:
Bước 1: Sau khi kích hoạt Fail2Ban, ta chọn Tab Jails để tiến hành kích hoạt các Rule tùy theo nhu cầu.

Bước 2: Chọn Rule cần kích hoạt để tùy chỉnh. Ví dụ ta chọn rule SSH như bên dưới.


Bước 3: Chọn Switch On để kích hoạt Rule. Khi kích hoạt thành công sẽ có thông báo như hình bên dưới.

Tại Tab Settings, chú ý các thông số sau:
·   Enabled = true: Rule đã được kích hoạt.
·   Filter = sshd: giao thức filter của Rule.
·   action = iptables[name=SSH, port=ssh, protocol=tcp]: hành động của rule thỏa các điều kiện.
·   logpath = /var/log/secure: log sẽ được lưu tại đây.
·   Maxretry=2 : Số lần lặp lại của attack. Giá trị của thông số này sẽ đồng bộ với giá trị ta nhập khi kích hoạt tính năng Fail2Ban tại Tab Settings.
Bước 4: Để tùy chỉnh Rule, chọn Change Settings:


Trong phần Change Settings, ta có thể tùy chỉnh các thông tin:
·   Filter: thay đổi filter của Rule.
·   Action: thay đổi hành động của Rule.
·   Log path: đường dẫn file log.
·   IP address ban period: thời gian để banned 1 IP.
·   The maximum number of failed login attempts: số lần lặp lại khi cố gắng login vào hệ thống.
Sau khi tùy chỉnh hoàn tất, chọn OK để lưu cấu hình.
Bước 5: Rule Fail2Ban được active sẽ như hình dưới.

2.Banned IP Addresses:
Tab này sẽ hiển thị các IP đang bị chặn và bạn có thể bỏ chặn 1 IP hoặc chuyển IP sang phần Trusted IPs (IP tin cậy) bằng cách chọn Move to Trusted IPs hoặc Unban tùy theo nhu cầu.

3.Trusted IP Addresses:
Để thêm một địa chỉ IP Trusted ( IP đáng tin cậy), ta chọn Add Trusted IP.

Điền thông tin IP vào mục IP address và chọn OK.

BÌNH CHỌN:

Hãy bình chọn 5 sao nếu bạn tìm thấy nội dung hữu ích.

Xếp hạng: 0 / 5. Phiếu bầu: 0

Cảm ơn bạn đã bình chọn.

    YÊU CẦU TƯ VẤN DỊCH VỤ