Fail2ban per Proteggere Moodle: Sicurezza Anti-Bruteforce

Fail2ban è lo strumento open source più efficace per proteggere un'installazione Moodle dagli attacchi bruteforce. Ogni piattaforma e-learning esposta su Internet è bersaglio costante di bot automatizzati che tentano migliaia di combinazioni username/password al minuto sulla pagina di login. Senza una difesa automatica, questi attacchi consumano risorse del server, rallentano l'accesso per gli utenti legittimi e, nel peggiore dei casi, compromettono account con password deboli. Fail2ban Moodle monitora i log di autenticazione e blocca automaticamente gli IP sospetti a livello firewall, fermando gli attacchi prima che raggiungano l'applicazione.

Come Funziona Fail2ban: Difesa Automatica a Livello Server

Fail2ban opera come un daemon che analizza in tempo reale i file di log del sistema, cercando pattern che indicano tentativi di accesso non autorizzato. Quando identifica un numero di tentativi falliti superiore a una soglia configurata, esegue un'azione — tipicamente un blocco IP tramite iptables o nftables — che impedisce ulteriori connessioni dall'indirizzo sospetto.

L'architettura di Fail2ban si basa su tre componenti:

• Filter: espressioni regolari (regex) che identificano i tentativi di accesso falliti nei file di log. Per Moodle, il filter deve riconoscere le righe di log generate dal sistema di autenticazione
• Jail: la configurazione che collega un filter a un log file e definisce le soglie di attivazione (numero massimo di tentativi, finestra temporale, durata del ban)
• Action: il comando eseguito quando la soglia viene superata. Oltre al blocco firewall, può includere notifiche email, log su SIEM o chiamate API a servizi di threat intelligence

Configurazione Fail2ban Moodle: Guida Passo-Passo

La configurazione di Fail2ban per Moodle richiede attenzione specifica, poiché Moodle non scrive i tentativi di login falliti nei log standard di Apache o Nginx, ma nel proprio log interno e nel database. Esistono due approcci per la protezione bruteforce:

Approccio 1: Log di Moodle su File

Configurare Moodle per scrivere gli eventi di autenticazione su un file di log dedicato. Nel file config.php di Moodle, abilitare il logging su file con il parametro $CFG->loglifetime e configurare un log handler che scriva i tentativi falliti in un formato parsabile.

Il filter Fail2ban per questo approccio analizza il file di log cercando pattern come "Login failed for user" seguito dall'indirizzo IP. La regex deve essere adattata al formato specifico dei log di Moodle.

Approccio 2: Analisi dei Log del Web Server

L'approccio più robusto e consigliato consiste nel configurare Fail2ban per analizzare i log di accesso del web server (Apache o Nginx), identificando richieste POST ripetute alla pagina di login che restituiscono redirect al login stesso — indicatore di autenticazione fallita.

Il file di filter da creare in /etc/fail2ban/filter.d/moodle.conf deve contenere regex che intercettano le richieste POST a /login/index.php seguite da un codice HTTP 303 o 200 (che in Moodle indica redirect alla stessa pagina di login dopo un tentativo fallito).

La jail corrispondente in /etc/fail2ban/jail.local deve specificare:

• maxretry = 5: numero massimo di tentativi di login falliti prima del ban. Un valore troppo basso genera falsi positivi (utenti che dimenticano la password)
• findtime = 600: finestra temporale in secondi (10 minuti) entro cui i tentativi vengono contati
• bantime = 3600: durata del blocco in secondi (1 ora). Per attacchi persistenti, considerare ban progressivi
• logpath: percorso al file di log del web server (es. /var/log/nginx/moodle-access.log)

Sicurezza Server: Strategie di Blocco IP Avanzate

La configurazione base di Fail2ban Moodle è efficace contro attacchi semplici, ma gli attaccanti moderni utilizzano tecniche più sofisticate. Ecco le strategie avanzate per una sicurezza server completa:

Ban progressivo: aumentare la durata del blocco a ogni recidiva. Il primo ban dura 1 ora, il secondo 24 ore, il terzo 7 giorni. Fail2ban supporta questa logica tramite il parametro bantime.increment e bantime.multipliers nella configurazione della jail.

Blocco per subnet: gli attaccanti distribuiti utilizzano blocchi IP adiacenti. Configurare Fail2ban per bannare l'intera subnet /24 dopo un certo numero di ban individuali dalla stessa rete riduce l'efficacia degli attacchi distribuiti.

Whitelist strategica: inserire in whitelist gli IP degli uffici aziendali, delle reti VPN e dei sistemi di monitoraggio per evitare auto-blocchi. Il parametro ignoreip accetta singoli IP, range CIDR e hostname DNS.

Integrazione con liste di reputazione IP: combinare Fail2ban con servizi come AbuseIPDB o Spamhaus per bloccare preventivamente IP noti per attività malevole, prima ancora che tentino un login.

Monitoraggio e Manutenzione della Protezione Bruteforce

Una configurazione di Fail2ban efficace richiede monitoraggio continuo. I comandi e le pratiche essenziali per la sicurezza server includono:

Verifica dello stato in tempo reale: il comando fail2ban-client status moodle mostra il numero di IP attualmente bannati, il totale dei ban dall'avvio e i tentativi falliti rilevati. Un report giornaliero automatizzato (via cron + email) evidenzia trend anomali.

Analisi dei pattern di attacco: aggregare i dati di Fail2ban su base settimanale permette di identificare orari di picco degli attacchi, subnet di provenienza ricorrenti e correlazioni con campagne di attacco globali.

Gestione dei falsi positivi: monitorare le richieste di sblocco degli utenti legittimi. Se i falsi positivi superano il 2% dei ban totali, è necessario rivedere le soglie o implementare un sistema CAPTCHA come prima linea di difesa.

Integrazione con il SIEM aziendale: Fail2ban può inviare eventi a sistemi di Security Information and Event Management (Splunk, ELK, Wazuh) per una visione unificata della postura di sicurezza.

• Rotazione dei log: assicurarsi che logrotate sia configurato per i file di log monitorati da Fail2ban, evitando che file troppo grandi rallentino l'analisi
• Aggiornamento regolare: mantenere Fail2ban aggiornato per beneficiare di fix di sicurezza e nuove funzionalità
• Test periodici: verificare che le regole funzionino correttamente simulando tentativi di accesso falliti da IP di test

Proteggere la tua piattaforma Moodle dagli attacchi bruteforce è solo uno degli aspetti di una strategia di sicurezza server completa. HIE Learning offre servizi specializzati di hardening e protezione bruteforce per installazioni e-learning, includendo la configurazione ottimale di Fail2ban, l'implementazione di WAF (Web Application Firewall), audit di sicurezza periodici e monitoraggio proattivo 24/7. Contattaci per un assessment di sicurezza della tua piattaforma Moodle.