Dostal jsem BAN a nemůžu se přihlásit na server. Co mám dělat?!

Už se vám to možná někdy stalo. Zablokovali jste si server a nevíte ani jak a nebo proč. Ať už jde o vaše opakovaně marné pokusy se přihlásit a nebo to zkouší někdo jiný, jde o nezbytný bezpečnostní prvek, kterým chráníme servery, aby je nikdo cizí nenapadl.

Co je vlastně ban:

Banování serverů je důležitým aspektem správy a bezpečnosti sítě. Co se během banování děje? Server odmítne komunikaci z konkrétní IP adresy, ze které se někdo opakovaně snaží na server přihlásit. Protože server rozeznává pouze veřejné IP adresy, nezablokuje komunikaci jen z určitého zařízení, ale pro jistotu rovnou z celé sítě, přes kterou se zařízení snaží k serveru připojit. A pomocí níž je zařízení připojené k internetu.

Kdy dochází k banování?

K banování dochází, pokud zadáte špatné heslo 3x, a to v případě přihlašování:

  • Do VPS Centra.
  • Do e-mailů ➝ u e-mailů nedochází k banování jen pokud zadáváte heslo ručně. Většina e-mailových klientů (těch, které jsou instalované na počítačích, telefonech a dalších zařízeních) se na server snaží připojit automaticky. Pokud jim to nevyjde, zkouší to znovu, dokud nedostanou ban. To je také jedna z nejčastějších příčin jejich nefunkčnosti.
  • Na FTP.
  • Na SSH.

Jak dlouho ban trvá?

Obvykle trvá půl hodiny. Během této doby je IP adresa na pomyslné „hanbě“, tzv. „blacklistu„. Následně je zapotřebí odtamtud dotyčnou IP adresu smazat a pak se můžete opět přihlásit.

Je možné se odbanovat dříve?

Ano, a to hned dvěma způsoby:

1.) Bany můžete zrušit a IP adresy odblokovat přímo ze Zákaznického Centra:

Jděte na Seznam serverů>Detail blokovaného serveru>VPS Centrum>Odstranit Bany a blokované IP adresy.

2) Nastavit si konkrétní IP adresy na tzv. “Whitelist”. To znamená, nastavit si, aby si filtr vaší konkrétní IP adresy prostě a jednoduše nevšímal. O tom, jak zařadit IP adresu na whitelist píšeme v samostatné nápovědě.

Banování přetěžujících IP adres pomocí HTTP

VPS Centrum disponuje ještě jedním nástrojem, který banuje tzv. přetěžující IP adresy. V tomto případě se nejedná o pojistku proti špatně zadanému heslu. Jde pouze o blokování serverů i běžných počítačů, které byly jakýmkoliv způsobem napadené (například nějakým škodlivým kódem/malwarem). Útočníkovi jde často o přetížení vašeho serveru, čímž může znefunkčnit váš web.

Takovým útokům můžete předejít správným nastavením, například si předem zablokovat přístup z konkrétní země (tzv. geoblokaci).

Jak na správné nastavení ve VPS centru:

Přihlaste se do VPS Centra a jděte do Správa serveru>Bezpečnost.

Tam narazíte na dvě možnosti:

  • Blokace IP adres – jednoduše zablokuje konkrétní IP adresu.
  • Filtrování HTTP provozu podle zemí:
    • IP adresy se dají identifikovat podle konkrétní lokality, odkud se zařízení připojují k internetu. Samozřejmě jde tuto lokalitu i manipulovat pomocí stále populárnější a známější technologie – VPN, ale to při útoku moc smysl nedává. Pokud se na serveru nenachází projekty, které míří na cílovou skupinu v následujících zemích, doporučujeme jim nastavit zakázaný přístup:
      • Afghanistán,
      • Rusko,
      • Čína,
      • Bělorusko.
  • Automatická blokace přetěžujících IP adres
    Asi nejvíc doporučujeme nastavit si automatickou blokaci. Další možností je jen report e-mailem. To ovšem vyžaduje rychlou reakci.

Limit requestů (požadavků) za hodinu pak značí situaci, kdy si webový prohlížeč vyžaduje od serveru zobrazení obrázku, bloku textu, tlačítek či jiných prvků na webu.

Nedá se jasně říct, kolik requestů se skutečně doporučuje. Záleží vždy na velikosti projektu. Většina webů si vystačí se 700. U e-shopů doporučujeme nastavit limit na 1 500.

Whitelist

Může nastat situace, kdy je potřeba, aby nějaká IP adresa tomuto omezení nepodléhala. Můžete jí proto z kontroly vynechat, k tomu slouží „whitelist„.

Whitelist je možný nastavit v VPS Centru nebo přes SSH.

Whitelistace ve VPS Centru

Stačí se přihlásit do VPS Centra, jít do správy serveru a do sekce bezpečnost. Tam můžete v sekci Automatická blokace přetěžujících IP adres přidat whitelistaci

Whitelistace ve SSH

Přihlaste se na SSH, vytvořte si lokální kopii souboru jail.conf a upravte ji:

vi /etc/fail2ban/jail.local

Najděte sekci [DEFAULT] a řádek „ignore IP“ a přidejte vaši IP adresu:

ignoreip = xxx.xxx.xxx (vaše IP adresa), více IP adres oddělujte mezerou

Pak už jen stačí soubor uložit a službu restartovat. To lze udělat příkazy :w a pak „q“

Služba se restartuje příkazem:

systemctl restart fail2ban

Dostáváte ban a nevíte proč?

Lepší než whitelistování je odstranit příčinu. Banovat vás bude nejspíš nějaké zařízení připojené v lokální síti. Tady vás čeká bohužel detektivní činnost. Sami nemáme možnost zjistit, o jaké zařízení se jedná. My vidíme až veřejnou IP adresu, která odpovídá vašemu připojení k internetu.

Takže co dělat? Odpojte co největší počet zařízení ze sítě. Zkontrolujte nastavení u zbývajících a postupně zařízení opět připojujte.

Zařízení může být cokoliv, co má přístup k e-mailu. Nezapomeňte ani na telefony, tablety, ale i alarmové systémy, software typu Pohoda, který posílá e-maily atd.

Při hledání vám může pomoc mobil, resp. jeho mobilní data a funkce access pointu. Získáte tak další síť, další připojení k internetu a zařízení můžete přepojovat a testovat i pomocí ní.

Pomohl vám tento článek?

Podobné články