fail2ban
This commit is contained in:
root
148
README-Fail2ban.md
Normal file
148
README-Fail2ban.md
Normal file
@@ -0,0 +1,148 @@
|
|||||||
|
# Problemstellung: Layer-Trennung (L3 vs. L7)
|
||||||
|
|
||||||
|
## Layer 7 (Application Layer) – Backend
|
||||||
|
Fail2Ban arbeitet auf Layer 7:
|
||||||
|
|
||||||
|
* **Analysiert:** HTTP-Requests (Logs)
|
||||||
|
* **Erkennt:** Muster (Bots, Scans, SQL-Injection)
|
||||||
|
* **Entscheidet:** „Bösartig / nicht bösartig“
|
||||||
|
|
||||||
|
Dieser Prozess erfolgt auf dem Backend (**clientserver**), da nur dort:
|
||||||
|
* Vollständige Request-Daten vorliegen.
|
||||||
|
* Die Applikationslogik sichtbar ist.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Layer 3 (Network Layer) – Proxy
|
||||||
|
Das eigentliche Blocking erfolgt auf Layer 3/4:
|
||||||
|
|
||||||
|
* **IP-Adresse** wird geblockt.
|
||||||
|
* **Protokollunabhängig.**
|
||||||
|
* **Umsetzung:** Via `nftables` (Kernel).
|
||||||
|
|
||||||
|
Dieser Prozess erfolgt optimal auf dem Proxy (**proxyserver**), da:
|
||||||
|
* Dies der erste Eintrittspunkt in das Netzwerk ist.
|
||||||
|
* Der Traffic dort noch nicht verteilt wurde.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Technisches Problem ohne Trennung
|
||||||
|
Wenn das Blocking ausschließlich auf dem Backend erfolgt:
|
||||||
|
|
||||||
|
1. Paket trifft auf dem Proxy ein.
|
||||||
|
2. Proxy akzeptiert die Verbindung.
|
||||||
|
3. Proxy leitet den Request an das Backend weiter.
|
||||||
|
4. Backend erkennt den Angriff.
|
||||||
|
5. Backend blockt die IP lokal.
|
||||||
|
|
||||||
|
**Daraus resultierende Probleme:**
|
||||||
|
* Der Proxy verarbeitet weiterhin Requests des Angreifers.
|
||||||
|
* Verbindungen werden trotzdem aufgebaut.
|
||||||
|
* Last entsteht bereits vor dem eigentlichen Block.
|
||||||
|
|
||||||
|
> **Konsequenz:** Die Layer 7 Entscheidung erfolgt zu spät im Netzwerkpfad.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Lösung: Layer-Trennung
|
||||||
|
|
||||||
|
### Architektur
|
||||||
|
* **Layer 7 (Erkennung):** Backend
|
||||||
|
* **Layer 3 (Blockierung):** Proxy
|
||||||
|
|
||||||
|
### Ablauf mit Proxy-Blocking
|
||||||
|
1. Angreifer sendet Request.
|
||||||
|
2. Proxy leitet diesen initial weiter.
|
||||||
|
3. Backend erkennt den Angriff via Fail2Ban.
|
||||||
|
4. Backend meldet die IP an den Proxy.
|
||||||
|
5. Proxy trägt die IP in `nftables` ein.
|
||||||
|
6. Alle weiteren Pakete werden bereits am Proxy verworfen.
|
||||||
|
|
||||||
|
### Effekt
|
||||||
|
* Kein Durchreichen mehr zum Backend.
|
||||||
|
* Keine HTTP-Verarbeitung für geblockte IPs.
|
||||||
|
* Minimierung der Applikationslast.
|
||||||
|
* Zentrale Kontrolle am Gateway.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Technischer Vergleich
|
||||||
|
|
||||||
|
| Ebene | Aufgabe | Ort |
|
||||||
|
| :--- | :--- | :--- |
|
||||||
|
| **Layer 7** | Analyse (Regex, Logs) | Backend |
|
||||||
|
| **Layer 3/4** | Blocking (IP) | Proxy |
|
||||||
|
|
||||||
|
### Notwendigkeit der Trennung
|
||||||
|
* **Fail2Ban** benötigt Kontext (L7), der nur im Backend verfügbar ist.
|
||||||
|
* **Firewall** benötigt Performance (L3), was nur am Einstiegspunkt effizient ist.
|
||||||
|
|
||||||
|
**Diese Kombination liefert:**
|
||||||
|
* Hohe Erkennungsqualität.
|
||||||
|
* Minimale Systemlast.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Fazit
|
||||||
|
Blocking auf dem Backend ist funktional, aber ineffizient. Blocking auf dem Proxy ist effizient, benötigt jedoch eine externe Entscheidungslogik.
|
||||||
|
|
||||||
|
**Die Lösung:** Erkennung auf Layer 7 (Backend) und Durchsetzung auf Layer 3 (Proxy).
|
||||||
|
|
||||||
|
---
|
||||||
|
# Fail2Ban: Proxy Forwarding Configuration (Client)
|
||||||
|
|
||||||
|
Diese Dokumentation beschreibt die Konfiguration des Backend-Clients (**clientserver**), um erkannte Angriffe auf Layer 7 an den Proxy (**proxyserver**) weiterzureichen, damit diese dort auf Layer 3 blockiert werden können.
|
||||||
|
|
||||||
|
## 1. Voraussetzungen
|
||||||
|
|
||||||
|
* **SSH-Zugriff:** Vom Client (clientserver) zum Proxy muss eine Verbindung bestehen.
|
||||||
|
* **SSH-Key Authentifizierung:** Muss passwortlos (Key-basiert) eingerichtet sein.
|
||||||
|
* **SSH-Port:** Muss in der SSH-Config des Root-Users hinterlegt sein.
|
||||||
|
* **Fail2Ban:** Muss auf beiden Systemen installiert und aktiv sein.
|
||||||
|
|
||||||
|
## 2. SSH Konfiguration
|
||||||
|
Konfiguration für den schnellen, passwortlosen Zugriff auf den Proxy.
|
||||||
|
|
||||||
|
**Datei:** `/root/.ssh/config`
|
||||||
|
```ssh
|
||||||
|
Host proxy
|
||||||
|
HostName proxy.myserver.com
|
||||||
|
User root
|
||||||
|
Port 22
|
||||||
|
IdentityFile /root/.ssh/clientserverproxy
|
||||||
|
IdentitiesOnly yes
|
||||||
|
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
# Fail2Ban: Proxy-Setup (Zentraler Bann über Reverse Proxy)
|
||||||
|
|
||||||
|
## Ziel
|
||||||
|
Implementierung einer zentralen IP-Blockierung am Reverse Proxy, während die Angriffserkennung dezentral auf den Backend-Systemen erfolgt.
|
||||||
|
|
||||||
|
### Architektur
|
||||||
|
* **Backend (Client):** Erkennt Angriffe mittels Fail2Ban-Filtern (L7).
|
||||||
|
* **Proxy (Enforcement):** Setzt Firewall-Regeln via `nftables` um (L3).
|
||||||
|
* **Kommunikation:** Erfolgt über den Befehl `fail2ban-client set recidive banip <ip>`.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Problemstellung
|
||||||
|
Beim Einsatz eines Reverse Proxys ergeben sich folgende Hürden:
|
||||||
|
* **Logs:** Enthalten zwar die Client-IP (via `X-Forwarded-For`), aber...
|
||||||
|
* **Firewall:** Die Backend-Firewall sieht nur die IP des Proxys.
|
||||||
|
|
||||||
|
**Ergebnis:** Fail2Ban erkennt den Angriff zwar korrekt, ein lokaler Block auf dem Backend bleibt jedoch wirkungslos, da der Traffic weiterhin über den Proxy fließen kann.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Lösung
|
||||||
|
Konsequente Trennung von **Detection** (Backend) und **Enforcement** (Proxy).
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Proxy-Konfiguration
|
||||||
|
|
||||||
|
### 1. Installation
|
||||||
|
```bash
|
||||||
|
apt install fail2ban
|
||||||
Reference in New Issue
Block a user