Fail2Ban für HaProxy

[RealThunder]

Moin,

Ich habe hinter einer OPN Sense einen OWA (MS Exchange) am laufen...
Als Reverse-Proxy Benutze ich den HaParoxy

Ich würde nun gerne Bruteforce Attacken auf die OWA vermeiden, und da bietet sich ja Fail2Ban für den HaProxy an.
Gibt es inzwischen schon ein Howto wie man auf der OPNSense Fail2Ban installiert ? bzw. konfiguriert ? ich möchte ja nicht dass es die Firewall configuration der OPNSense übern haufen wirft.

[fabian]

Installieren und selbst konfigurieren sollte gehen - wird aber sicher nicht den gewünschten effekt bringen. Dazu musst du einfach das Paket aus dem Ports tree (https://github.com/opnsense/ports) bauen. Ob es was kaputt macht, kann ich nicht sagen aber ich halte es für unwahrscheinlich, dass die Angriffe erkannt werden, da aus den HAProxy-Protokollen nicht wirklich hervorgeht, ob der Loginversuch erfolgreich war oder nicht. Da bräuchtest du eher das Protokoll der Applikation.

[RealThunder]

bei einem fehlgeschlagenen Loginversuch leitet die OWA ja an eine andere url um, dies bekommt der HAproxy mit, und dann kann man fail2ban sagen er soll die logs vom haproxy durchgehen und scanner wie oft diese url von welcher ip abgerfen wurde (es geht nur um web) für smtp habe ich ein Gateway dazwischen der jeglichen loginversuch von aussen abblockt.


Dann werde ich mir mal ne laborumgebung aufbauen und rumtesten.

[fabian]

Vermutlich wird er protokollieren, dass umgeleitet wurde (Status Code 3xx), aber nicht wohin (Location Header). Der Umleitung muss das Werkzeug des Angreiferes nicht folgen - Die URL wird also nicht abgefragt.