Banner 1

Bloquear IP que realizan ataques de fuerza bruta.

Los ataques de fuerza bruta suelen ser los más utilizados para atacar un servicio, ya que son los ataques más populares y fáciles de ejecutar con herramientas automatizadas. En este post voy a hablar de dos herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del atacante. Por ejemplo, si un usuario falla más de 5 veces el login en SSH, bloquear dicha IP y el usuario.

En Linux.

Utilizamos la herramienta Fail2ban, su funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La acción más corriente es bloquear el usuario o la Ip en iptables.

El fichero de configuración es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las acciones en caso de ataque, existen parámetros como:

  • ignoreip: IPs de nuestra área local que aunque se equivoquen en el login no serán bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
  • maxretry: Número máximo de intentos de login.
  • bantime: Tiempo en segundos que el usuario que falló el login se quedara sin poder acceder al servicio especificado. Si se asigna el valor -1 será permanente.
  • filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio /etc/fail2ban/filter.d.
  • destemail: Dirección de correo electrónico donde enviara las alertas.

Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log /var/log/fail2ban.log.

Esta herramienta está disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.

Más información y descarga de Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page

FAQ de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/FAQ_spanish

HOWTO de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish

En Windows.

Se trata de WinFail2ban, su funcionamiento está basado en Fail2ban de Linux pero es menos versátil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban también incluye la opción de enviar las alertas por correo electrónico.

Más información y descarga de WinFail2ban:
http://winfail2ban.sourceforge.net/

Fuente:http://vtroger.blogspot.com/2009/01/bloquear-ip-que-realizan-ataques-de.html

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay