Fail2Ban

La aplicación que vamos a usar para protegernos se llama Fail2Ban y se va a encargar de hacer de guardián las 24 horas del día bloqueando a todo aquel que tenga un numero de intentos fallidos de login en alguno de nuestros servicios Pueden buscarlo en Synaptic o bien instalarlo desde un terminal con este código: apt-get install fail2ban En este ejemplo voy a proteger a los servicios SSH, FTP, y al WWW que son los que ofrecen mi servidor hacia internet. A cada uno le voy a dar un retardo de 300 segundos que vienen a ser unos 5 minutos para que durante ese tiempo el usuario que quiera conectarse no le sea una molestia esta medida de seguridad. 5 minutos es suficiente para evitar el uso malintencionado de un ataque por fuerza bruta o también llamado diccionario de nombres. Luego de instalar Fail2Ban desde Nautilus (abrir desde un terminal con: Sudo nautilus nos dirigimos a: /etc/fail2ban/jail.conf , hacemos una copia de seguridad del mismo y luego hacemos un copy & paste del siguiente código: ignoreip = 127.0.0.1 192.168.1.0/24 bantime = 300 maxretry = 3 backend = polling destemail = root@localhost action = iptables mail-whois-lines enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 600 [ apache ] enabled = true port = http filter = apache-auth logpath = /var/log/apache*/*access.log maxretry = 3 findtime = 600 [apache-noscript] enabled = true port = http filter = apache-noscript logpath = /var/log/apache*/*error.log maxretry = 3 findtime = 600 enabled = true port = ftp filter = proftpd logpath = /var/log/proftpd/proftpd.log maxretry = 3 findtime = 600 Por último desde el terminar hay que iniciar el servicio, para esto se utiliza el siguiente código: sudo /etc/init.d/fail2ban start Si queres ver que tal andas de bloqueos podés ver el fichero fail2ban.log que se ubica en la ruta /var/log donde se guardan todos los bloqueos, ips, fecha y hora de quien nos está atacando. Descripción de los comandos del archivo de configuración ignoreip : IPs de nuestra área local que queremos que se haga la vista gorda en caso de equivocación. bantime : Tiempo que el usuario que fallo el logeo se quedara sin poder acceder al servicio especificado en segundos. maxretry : Numero de intentos de logeo. backend : Permite de un modo o otro la escritura de ficheros log. ( Yo estoy en Debian 4.0 y solo me funciona con la opción polling ) destemail : Dirección de correo donde nos enviara las alertas. action : Forma en que iptables aplica sus reglas. mail-whois-lines : Se especifica que queremos que nos envié al correo en caso de intrusión. : Tomare ssh como ejemplo pero esta es una linea que da igual lo que pongamos, ya que no afecta a la configuración. enable : Podemos introducir true para activarlo y false para desactivarlo. port : Nombre del servicio relacionado con el puerto. filter : Nombre del archivo .conf ubicado en el subdirectorio /etc/fail2ban/filter.d, este va relacionado con algún filtro ya creado. logpath : Ruta donde se ubica el fichero log donde se almacena toda la información de el servicio en cuestión. maxretry : Numero de intentos fallidos, aquí podemos especificar un carácter diferente para cada celda que creemos. findtime : Si alguien prueba x intentos en este periodo de tiempo especificado en segundos se le considera ataque.