Schutz vor Brute-Force-Angriffen (Fail2Ban)

Das Sperren von IP-Adressen (mit Fail2Ban) ist eine automatisierte Methode, um Ihre Server vor Brute-Force-Angriffen zu schützen. Fail2Ban nutzt reguläre Ausdrücke, um Protokolldateien auf Muster zu überwachen, die mit Authentifizierungsfehlern, Exploits und anderen als verdächtig eingestuften Einträgen übereinstimmen. Diese Protokolleinträge werden gezählt. Wenn ein zuvor definierter Wert erreicht wird, sendet Fail2Ban entweder eine Benachrichtigungs-E-Mail oder sperrt die IP des Angreifers für einen festgelegten Zeitraum. Sobald der Sperrzeitraum vorüber ist, wird die Sperre der IP-Adresse automatisch wieder aufgehoben.

Die Logik von Fail2Ban wird von einer Reihe von Jails festgelegt. Ein Jail ist ein Regelsatz, der ein bestimmtes Szenario betrifft. Über die Einstellungen des Jails wird bestimmt, was zu tun ist, wenn ein Angriff anhand zuvor definierter Filter (ein oder mehrere reguläre Ausdrücke zur Überwachung der Protokolle) erkannt wurde. Weitere Informationen finden Sie unter Verwalten der Fail2Ban-Jails.

Hinweis: Administratoren, die ein Upgrade von Plesk 11.5 durchführen und Fail2Ban verwenden möchten, benötigen einen neuen Lizenzschlüssel für Plesk Onyx von Plesk oder ihrem Anbieter.

Auf die folgende Weise richten Sie Plesk so ein, dass IP-Adressen und Netzwerke, die schadhaften Traffic generieren, automatisch gesperrt werden:

1. Gehen Sie zu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) (in der Gruppe Sicherheit ). Die Komponente Fail2Ban muss auf Ihrem Server installiert sein.
2. Aktivieren Sie das Kontrollkästchen bei Angriffserkennung aktivieren. Damit wird der Fail2Ban-Dienst aktiviert.
3. Geben Sie die folgenden Einstellungen an:
   • Zeitraum für IP-Adress-Sperre – das Zeitintervall (in Sekunden) das angibt, wie lang eine IP-Adresse gesperrt werden soll. Sobald der Zeitraum vorüber ist, wird die Sperre der IP-Adresse automatisch wieder aufgehoben.
   • Zeitraum für Erkennung nachfolgender Angriffe - das Zeitintervall (in Sekunden), das angibt, wie lang das System die Anzahl an fehlgeschlagenen Versuchen und anderen unerwünschten Aktionen ausgehend von einer IP-Adresse zählt.
   • Anzahl an fehlgeschlagenen Versuchen, bevor die IP-Adresse gesperrt wird – die Anzahl an fehlgeschlagenen Anmeldeversuchen, die von der IP-Adresse ausgehen.
4. Klicken Sie auf OK.

Nun werden alle aktiven Fail2Ban-Jails genutzt, um die Protokolldateien zu überwachen und verdächtige IP-Adressen zu sperren.

Für Fail2Ban in Plesk gelten folgende Einschränkungen und Besonderheiten:

• Fail2Ban darf nicht als ein Plesk Service neu gestartet werden, da sonst alle angesammelten Statistikdaten, einschließlich der aktuell gesperrten IP-Adressen, verloren gehen.
• Fail2Ban bietet keinen Schutz vor Angreifern mit einer IPv6-Adresse. In Plesk verlässt sich Fail2ban lediglich auf IPs (ohne Hostnamen-Lookups), es sei denn es wird anders konfiguriert.
• Fail2Ban kann nicht vor dezentralisierten Brute-Force-Angriffen schützen, da es Eindringlinge anhand ihrer IP-Adresse identifiziert.
• Wenn Ihr Plesk auf einem VPS installiert ist, kann die Grenze für die iptables-Einträge des VPS (numiptent) die Funktion von Fail2Ban beeinträchtigen. Denn sobald die Grenze überschritten ist, funktioniert Fail2Ban nicht mehr richtig und im Fail2Ban-Protokoll ist die folgende oder eine ähnliche Zeile zu finden:
  fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
  Wenden Sie sich in diesem Fall an Ihren VPS-Hosting-Provider, um das Problem zu beheben.
• Sofern vor dem Upgrade auf Plesk Onyx bereits Fail2Ban auf Ihrem Server installiert war, wird das Paket durch das eigene Fail2Ban-Paket von Plesk ersetzt. Falls Ihr bereits installiertes Paket neuer ist als das mit Plesk bereitgestellte Paket, kann das Upgrade unter Umständen fehlschlagen. Vorhandene Jails werden nicht überschrieben und Sie können sie zusammen mit Plesk Onyx Jails in Plesk verwalten.

Wenn eine IP-Adresse nicht gesperrt werden soll:

1. Gehen Sie zu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Vertrauenswürdige IP-Adressen > Vertrauenswürdige IP hinzufügen.
2. Geben Sie im Feld IP-Adresse eine IP-Adresse, einen IP-Bereich oder einen DNS-Hostnamen an und klicken Sie auf OK.

Sie können Fail2Ban-Protokolldateien über Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Registerkarte Protokolle aufrufen und herunterladen.

Sie können die Liste der gesperrten IP-Adressen einsehen, die Adressen entsperren oder in die Liste der vertrauenswürdigen Adressen verschieben. Rufen Sie dazu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Registerkarte Gesperrte IP-Adressen auf.

Sie können über Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Registerkarte Vertrauenswürdige IP-Adressen die Liste der IP-Adressen einsehen, die niemals gesperrt werden, sowie IP-Adressen hinzufügen und von der Liste entfernen .

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.