Любой компании важно сохранить высокий уровень информационной безопасности в Интернет, исключить потерю контроля над сетевой компьютерной системой организации, возможную кражу активов, а также слив корпоративных и личных данных. Для этого нужно провести своевременную профилактику: обеспечить быстрое и качественное обнаружение и предотвращение атак на сети со стороны вредоносных хостов.

Если самостоятельно решить эту задачу у вас не получается, у IT-специалиста нет возможности и времени разбираться, лучше её реализацию поручить нам. Мы эксперты в области настройки всех элементов Линукс с опытом работы более 15 лет.

По вашему запросу мы проведём полную настройку Linux с грамотной установкой и развёрткой системы обнаружения и предотвращения компьютерных интернет-атак. Для реализации этой задачи используется комбинация из двух ПО – Suricata и Fail2Ban, показавших высокую эффективность. После его внедрения, как утверждают наши клиенты, риски вторжений компьютерных атак существенно снижаются.

В настоящей статье мы на примере рассмотрим только то, как производится настройка Fail2Ban (ПО для автоблокировки этих хостов). Условимся, что Suricata, предназначенное для обнаружения атакующих хостов, уже настроено.

Suricata, как супер-инструмент обнаружения атак в сети Интернет

Высокопроизводительное ПО Suricata используется для сетевого анализа, а также обнаружения интернет-атак хоста с открытым исходным кодом. Программное обеспечение используется большинством частных и госорганизаций, так как оно постоянно мониторит сетевой трафик, обнаруживая активности подозрительного характера.

Чтобы активировать возможности, которые даёт ПО, нужно выполнить его установку непосредственно на вашем сервере. А затем – настроить сам файл конфигурации для мониторинга сетевого трафика в режиме ids nfq (для анализа трафика в реальном времени и обнаружения вторжений). Среди атак могут быть, например, атаки на веб-приложения или сканирование портов. Обнаруживая потенциальные риски, Suricata делает запись информации в специальный «Журнал событий».

Fail2Ban, как эффективный блокировщик компьютерных атак

Fail2Ban позволяет на базе анализа логов блокировать атакующие хосты, злоупотребляющие доступностью сервера по сети. Благодаря настройке этого ПО можно защитить от взлома почтовые ящики, который происходит путём перебора паролей, а также неоднократного запроса какого-либо ресурса.

Рассмотрим пример конфигурации fail2ban

Заводим новый фильтр в каталоге /etc/fail2ban/filter.d/

vim suricata.conf

[INCLUDES]
before = common.conf

[DEFAULT]
_daemon = suricata

[Definition]
datepattern = ^%%m/%%d/%%Y-%%H:%%M:%%S
failregex = <HOST>:[0-9]+ ->
ignoreregex =

Далее делаем настройку правил. Для нового правила нужно предусмотреть конфигурационный файл в каталоге /etc/fail2ban/jail.d

vim  suricata.local

[suricata]
enabled = true
filter = suricata
logpath = /var/log/suricata/fast.log
findtime = 3h
banaction_allports = nftables[type=allports]
maxretry = 2
bantime = 24

Предотвращение компьютерных атак: основные выводы

Комплекс из Suricata и Fail2Ban – мощный инструмент для обнаружения и блокировки атакующих хостов. Первый обнаруживает атаки, второй автоматически их блокирует. Настройка данного программного обеспечения и его дальнейшая поддержка в рабочем состоянии требует от компании затрат средств, времени и усилий. Однако это правильные инвестиции в безопасность вашей корпоративной компьютерной сети.

После прочтения статьи остались вопросы?

Так бывает, что информация в статье устаревает или не совсем подходит под конкретно вашу задачу. Оставьте заявку на бесплатную консультацию и наш специалист подскажет, как решить ваш вопрос.

Узнать подробнее

Отправить заявку