Kroki instalacji Fail2Ban na Windows Server za pomocą WSL:

1. Włącz funkcję Windows Subsystem for Linux (WSL)

WSL jest warstwą zgodności, która pozwala na uruchamianie natywnych aplikacji Linux na Windows bez konieczności używania maszyny wirtualnej. Na Windows Server musisz najpierw zainstalować WSL.

• Otwórz PowerShell jako administrator:
• Kliknij Start i wpisz „PowerShell”, następnie kliknij prawym przyciskiem myszy i wybierz Uruchom jako administrator.
• Zainstaluj WSL:

W PowerShell wpisz poniższą komendę, aby zainstalować WSL i dystrybucję Linuxa (domyślnie Ubuntu):

wsl --install

Jeśli już masz zainstalowany WSL, ale jest to starsza wersja (WSL 1), możesz zaktualizować go do WSL 2:

wsl --set-default-version 2

• Restart systemu:

Po instalacji system może wymagać restartu.

• Zainstaluj wybraną dystrybucję Linuxa: Po restarcie uruchom ponownie PowerShell i wybierz dystrybucję Linuxa, np. Ubuntu:

wsl --install -d Ubuntu

Zainstaluj Fail2Ban w środowisku Linux (Ubuntu)

• Uruchom Ubuntu przez WSL:

Po zainstalowaniu Ubuntu, uruchom terminal WSL, wpisując w PowerShell:

wsl

Teraz jesteś w środowisku Ubuntu na Windows Server.

• Zaktualizuj pakiety i zainstaluj Fail2Ban: W terminalu WSL (Ubuntu) wpisz poniższe polecenia, aby zainstalować Fail2Ban:

sudo apt update
sudo apt install fail2ban

• Skonfiguruj Fail2Ban:

Po instalacji możesz skonfigurować Fail2Ban, edytując jego pliki konfiguracyjne. Plik konfiguracyjny znajduje się w /etc/fail2ban/jail.conf. Skopiuj go, tworząc plik lokalny jail.local:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Następnie otwórz go do edycji:

sudo nano /etc/fail2ban/jail.local

W tym pliku możesz dostosować konfigurację, np. dodać reguły dla ochrony na porcie 465 (SMTP). Możesz skonfigurować jail.local, aby monitorować logi z aplikacji korzystających z portu 465 lub innych usług SMTP, oraz określić liczbę nieudanych prób logowania, po których dany adres IP zostanie zablokowany.

Przykład konfiguracji dla portu 465:
[sshd]
enabled = true
port   = 465
logpath = /var/log/auth.log
maxretry = 10

• Uruchom Fail2Ban: Po skonfigurowaniu uruchom Fail2Ban:

sudo service fail2ban start

• Sprawdź status Fail2Ban: Możesz sprawdzić, czy Fail2Ban działa poprawnie:

sudo fail2ban-client status

Konfiguracja blokowania IP w Windows Firewall

Fail2Ban zablokuje adresy IP, tworząc reguły blokujące w zaporze systemu Linux. Aby zastosować te blokady na poziomie Windows Firewall, musisz dodatkowo skonfigurować mechanizm, który zablokuje adresy IP również w zaporze Windows.

Jednym ze sposobów jest wykorzystanie Fail2Ban do generowania skryptów, które dodadzą reguły blokujące w Windows Defender Firewall. Można to zrobić poprzez wykonanie skryptów PowerShell z poziomu WSL.

Przykład integracji z zaporą Windows:

• Fail2Ban może uruchamiać skrypt PowerShell po wykryciu nieudanej próby logowania. Skrypt mógłby wyglądać tak:

sudo fail2ban-client set sshd actionban powershell.exe -Command "New-NetFirewallRule -DisplayName 'Blocked IP %IP%' -Direction Inbound -RemoteAddress %IP% -Action Block"

Automatyzacja i monitorowanie

Aby zapewnić automatyczne uruchamianie Fail2Ban po restarcie systemu, możesz skonfigurować odpowiednie zadania startowe w WSL oraz skonfigurować monitoring blokad IP, aby mieć pełną kontrolę nad zabezpieczeniami.