Openvpnserver mit Fail2Ban überwachen
optimox.de zieht um und wird
Fail2Ban dient dazu IP Adressen zu blockieren die sich unerlaubt Zugriff zum System verschaffen wollen. Dazu überprüft es Logfiles auf bestimmte sich IP Adressen und sich wiederholende Ereignisse, wie z.B. fehlgeschlagen Loginversuche.
Standardmäßig verfügt Fail2Ban bereits über eine Vielzahl an vorgefertigten Filtern für verschiedene Dienste. OpenVPN gehört leider nicht dazu, lässt sich jedoch leicht hinzufügen.
Als erstes erstellen wir unter /etc/fail2ban/filter.d/ die Datei openvpn.conf.
sudo touch /etc/fail2ban/filter.d/openvpn.conf
und füllen sie mit folgendem Inhalt
[Definition] failregex = :\d{1,5} TLS Auth Error :\d{1,5} VERIFY ERROR: :\d{1,5} TLS Error: TLS handshake failed
Damit teilen wir Fail2ban mit, wo es die IP Adressen findet und auf welche Aktionen es reagieren soll. In diesem Fall fehlgeschlagene Loginversuche, da der potentielle Angreifer kein gültiges Zertifikat vorlegen kann. Anschließend fügen wir den OpenVPN Dienst zur /etc/fail2ban/jail.local hinzu
[openvpn] enabled = true protocol = udp port = 1194 filter = openvpn logpath = /var/log/syslog maxretry = 3
Falls bei der Einrichtung von OpenVPN die Standardwerte verändert wurden (z.B. der Port oder der Pfad für die Logfiles) müssen diese hier ebenfalls angepasst werden.
Nun muss Fail2ban nur noch neugestartet werden
sudo service fail2ban restart
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.