Весенняя безопасность безгражданская грубая сила защиты от угадывания учетных данных

Question

Мне нужно игнорировать попытки аутентификации с IP-адреса после нескольких неудачных попыток, чтобы предотвратить угадывание учетных данных.

Существует несколько постов в блоге о весенней защите от перебора.Но все они, как я обнаружил, предложили решение в памяти, такое как:

https://www.baeldung.com/spring-security-block-brute-force-authentication-attempts

Приложение, над которым я работаю, не имеет состояния, но должно обеспечивать защиту методом перебора.Каков был бы разумный способ реализовать это?

Answer 1

Плохо пытаться реализовать функциональность брандмауэра на сервере приложений.Используйте доступные вам средства ведения журнала, чтобы регистрировать тот факт, что вы видите сбои входа в систему и с какого адреса они поступают.

Затем используйте средства, предоставляемые выделенными приложениями брандмауэра, чтобы проанализировать информацию, которую вы зарегистрировали, чтобы поднять предупреждения и заблокировать адреса.В Linux fail2ban - отличная небольшая утилита, которая может просматривать ваши логи и создавать правила iptables для блокировки хакеров.iptables - это интерфейс к брандмауэру ядра Linux.

Answer 2

Метод, описанный в статье, хранит количество попыток входа в систему, как вы заметили.Я бы сказал, что вы можете (и должны) делать это в приложении без сохранения состояния.«Без сохранения состояния» обычно означает, что HTTP-сеанс не используется на сервере для отслеживания какого-либо пользовательского состояния между HTTP-запросами.

Нет просто способа отслеживать HTTP-запросы без использования некоторой памяти на сервере.Я бы не беспокоился о том, соответствует ли это определению «без сохранения состояния».

Мы используем очень похожий подход (вдохновленный той же статьей), чтобы предотвратить попытки входа в систему методом грубой силы в противном случае полностью без сохранения состояния Spring RESTсервис, и он хорошо работает для нас.

Редактировать: я мог бы подумать о еще одном подходе: вы могли бы использовать fail2ban для анализа журналов приложений и (временно) запретить вредоносные IP-адреса на «более низком» уровне.