De l’intérêt de fail2ban

C’est pour l’instant le cas d’utilisation le plus justifié que j’ai pu voir proposé. Mais dans ce cas ce n’est « que » un outil de confort pour l’administration des machines, pas un outil lié à la sécurité. Plus ou moins comparable à l’utilisation de ports non-standards pour les services ouverts à l’extérieur.

Je n’ai bien sûr aucun souci avec ce genre d’outil, mais c’est une très mauvaise chose dans ce cas qu’il soit autant recommandés aux débutants comme une première étape dans la sécurisation d’un serveur.

En quoi ça serait une mauvaise chose ? est-ce que je devrais désinstaller fail2ban ?
Le premier article que je trouve " Fail2ban is the answer to protect services from brute force and other automated attacks."
Si quelqu’un raconte n’importe quoi sur un forum ou ailleurs, l’outil n’est pas à remettre en question.

sur le fond, le plus important est de savoir ce qu’il est nécessaire de mettre en place pour protéger ses services.
certains outils sont plus ou moins facile à mettre en place.
de ce point de vue, fail2ban n’est pas complexe à mettre en place.
a partir de là, il y a encore du chemin pour sécuriser son environnement.

Non ce n’est pas la réponse. Relire le post de Bruno ou de Clochette plus haut.

Pour l’instant ce qui ressort de ce fil c’est que fail2ban n’est ni nécessaire, ni même utile pour sécuriser des services.

Il peut apparemment servir à améliorer la lisibilité des logs sur le serveur, et aider à nourrir des bases de données d’IP au comportement suspect. Mais ça n’est pas de la sécurisation de quoi que ce soit.

La simplicité de mise en place n’apporte rien ici. Google Chrome aussi c’est simple à installer, heureusement personne ne conseille aux débutants de l’installer sur leurs serveurs pour les sécuriser.

ici, je lis

• diminuer la probabilité de réussite d’une attaque par force brute ;

pour faire simple on va repartir de la source :

Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs – too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).
Fail2Ban is able to reduce the rate of incorrect authentications attempts however it cannot eliminate the risk that weak authentication presents. Configure services to use only two factor or public/private authentication mechanisms if you really want to protect services.

au final, on fait quoi de ces IPs ? si c’est juste pour les stocker, l’intérêt est plus que limité.

J’ai précisé par la suite et c’est important :

Et la doc de fail2ban que tu indiques, dit la même chose que moi.

Par exemple pour un service SSH/SFTP correctement configuré, accessible uniquement par clés ou par mots de passe très solides, fail2ban est tout à fait superflu sauf si on veut envoyer des signalements sur les IP qui tentent des connexions.

Pour l’envoi des IP à des services tiers je disais :

Cela contribue à la désactivation des machines compromises qui font des tentatives de connexion (si le service abuse concerné est efficace) et donc globalement à avoir un Internet un tout petit peu plus sûr.
Les services cités utilisent ces bases de données pour fournir des listes noires (RBL ou DNSBL) qui peuvent ensuite être utilisées comme moyen de filtrage pour les service hébergés. C’est particulièrement utile, par exemple, pour un serveur de courrier.

Comme vous le dites vous-même :
« recommandés aux débutants comme une première étape dans la sécurisation d’un serveur. »
Pour sécuriser un serveur, il faut bien commencer par quelque chose, avant de passer à autre chose.
J’utilise Fail2ban sur tous mes serveurs depuis plus de 15 ans. Il m’a été extrêmement utile à une époque où je n’avais qu’un serveur « multitâches » : serveur web, mysql, dns, e-mail, ftp, ssh, etc… Car il bloquait rapidement toutes les activités malveillantes, limitait le volume des logs à une époque où les disque durs courants n’atteignaient pas les 100 Go.
Et avant la diffusion de fail2ban, j’ai moi-même subi un rootkit suite à une attaque brute force sur un serveur de production que fail2ban aurait certainement évité, s’il avait existé… Mais j’étais moi-même débutant à l’époque.
Autre chose, à propos des ip identifiées qui sont « libérées » au bout de quelques heures, il y a la détection des récidives qui les bloque durablement.

Oui, il faut bien commencer par quelque chose, mais par quelque chose d’utile sinon c’est contre-productif et forme juste à de mauvaises pratiques.

Pourtant de ce que je vois des retours dans ce fil, fail2ban ne bloque pas les activités malveillantes. Et encore moins toutes les activités malveillantes.

Si tu as des exemples concrets de menaces qui auraient réellement pu aboutir mais ont été déjouées par fail2ban, ça m’aiderait à nuancer mon opinion

En 2018, il y a eu des séries d’attaques sur les serveurs DNS, qui conduisaient à la saturation de la bande passante en inondant les serveurs de requêtes. Fail2ban en bloquant les requêtes multiples venant de la même ip était en mesure de limiter très fortement l’impact de l’attaque.

fail2ban ne risque pas de bloquer des « activités malveillantes », seulement des IP à partir des logs et des jails configurées
personne n’a jamais prétendu que fail2ban est la solution miracle

puisque les IPs ont été bloquées, comment veux tu prouver qu’une tentative a échoué ? à moins que tu sois doté de don de prescience

maintenant, je te conseille de contacter directement les développeurs de fail2ban pour leur expliquer que leur travail est contre production et forme à des mauvaises pratique.
en espérant qu’ils retirent rapidement ce logiciel et peut être qu’ils s’excuseront auprès de toi ?

Merci, c’est exactement le genre d’exemple que je cherche depuis le début de ce fil

Tu as un article sous la main qui fasse un post-mortem de cette attaque et du rôle de fail2ban dans sa mitigation ? Ou quelques mots-clés pour en retrouver ?

Vu ton incapacité évidente à t’exprimer autrement que de manière agressive et méprisante, je t’invite à ne plus me répondre. Il est de toutes façons évident que tu n’as rien de pertinent à apporter au sujet discuté.

Quels étaient exactement les types d’attaques ?
Peux-tu indiquer les filtres (jail) qui ont été utilisés pour bloquer ces requêtes ?
Fail2ban n’en propose pas vraiment par défaut et averti bien l’administrateur système qu’il est très difficile de bloquer efficacement du trafic en UDP.
Il a déjà été expliqué que fail2ban ne pouvait absolument rien contre une attaque DDOS.

Aucune agressivité dans les propos de Yatta et en plus il a raison
Vous etes tous très prompts à critiquer les solutions proposées mais très peu à même de proposer des solutions efficaces tel zargos qui vomissait sur opnsense et pfsense.

On ne critique pas fail2ban mais son mésusage.
Des solutions efficaces pour quoi ou contre quoi ?

fr/SecurityManagement - Debian Wiki :

La sécurité est un processus, pas un produit : le simple fait d’installer ou de paramétrer une solution de sécurité ne vous fournira pas de sécurité par elle seule - la sécurité est un processus technologique et humain continu.

Le seul point qui est critiqué ici c’est de recommander à des débutants, en leur promettant que ça va les protéger, un outil qui apparemment ne peut pas remplir ces prétentions. Ce qui aboutit à des serveurs qui ne sont pas sécurisés, alors que leurs administrateurs croient le contraire.

Si fail2ban est vraiment un outil remplissait un rôle de sécurisation, je pense qu’on aurait eu des exemples valables de ce cas d’utilisation depuis l’ouverture de ce fil.

Je changerai d’avis si on me montre des cas convaincants (comme celui évoqué par @Mediaf un peu plus haut si on peut trouver des sources pour le confirmer), mais en attendant j’ai lieu de penser que la réputation de fail2ban comme outil de sécurisation est usurpée, et nuisible.

Alors ce genre d’attaques gratuites tu vas immédiatement les arrêter si tu ne souhaites pas que j’endosse mon rôle de modérateur le temps de t’expliquer les bonnes manières…

Bonsoir,

Depuis le début de ce fil, et à chaque réponse, j’ai l’impression que tu ne retiens que les réponses et arguments qui vont dans le sens de ton idée de départ, ce qu’on appelle communément un biais de confirmation.

Alors oui, fail2ban n’est pas le soft ultime de la sécurisation : tout le monde sur ce fil l’a dit et redit.

Mais oui il est utile en matière de sécurité, même si on peut s’en passer.

Oui, une attaque élaboré passera facilement. Il faudrait être idiot pour dire le contraire. Est-ce une raison pour ne pas se prémunir à faible coût des attaques les plus basique ?

C’est faux, j’ai retenu les exemples pertinents d’utilisation de fail2ban dans un contexte de sécurisation d’un serveur. Mais pour l’instant il n’y en a eu qu’un seul, celui évoqué par @Mediaf.

Si j’en ai manqué d’autres, je veux bien que tu les mettes en avant.

EDIT

Apparemment j’en avais bien manqué un autre, proposé par @Zargos ici : De l’intérêt de fail2ban - #9 par Zargos

On peut continuer à le répéter des douzaines de fois, ça ne rendra pas ça plus vrai. Si c’était le cas je serais en train de crouler sous les exemples depuis l’ouverture de ce fil, mais ce n’est manifestement pas le cas.

Je ne « vomissais » pas, je disais qu’ils avait des defauts qui ne me convenait pas, et que le DNB Bind dessus etait buggué et que l’interface suricata n’est pas user friendly pour la gestion des alertes. J’en utilise une opnsense depuis 3 ans. Donc je crois que je connais assez bien cette distro.

C’est même la base de la mise en place de solutions de sécurité.

Fail2ban est un indicateur rien de plus, c’est ce qu’on fait de ses alertes qui compte. Mais c’est valable aussi pour un parefeu, un antivirus, un IDS, etc…

C’est justement la prochaine discussion que je prépare : « Quel rôle joue un pare-feu dans la sécurisation d’un serveur ? »