Juan C. Mardones Koning

Los ataques de fuerza bruta provenientes de sitios como China, Rusia y Brasil son bastante frecuentes para quienes administran servidores y revisan los logs de forma constante (claro esta si se tiene el puerto abierto para todo el mundo, cosa que a veces no se puede evitar).

La aplicación fail2ban permite reducir los riesgos de los ataques por fuerza bruta, agregando un delay personalizado de tiempo de baneo, dado una cantidad de intentos fallidos de inicio de sesión.

Esto nos da la posibilidad de estar un poco mas protegidos ante ataques externos, haciendo casi imposible un barrido completo del ataque por fuerza bruta (5 intentos y baneo por 30 minutos).

Para configurarlo en Centos hay que instalar el paquete de DAG, que puede ser instalado de la siguiente forma:

# rpm -Uvh http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Es importante tener los paquetes actualizados de la distribución, que como recordaremos, se realiza con un:

#yum update

Luego basta con:

# yum install fail2ban

y esto instalará los paquetes necesarios.

Configuración
Una vez instalado, es necesario configurar que servicios estarán disponibles para el fail2ban, estos servicios se configuran en el archivo /etc/fail2ban/jail.conf

Las directivas mas importantes a tener en consideración son:

• ignoreip, el cual nos permite eliminar maquinas o redes del baneo por fallar el login.

ignoreip = 127.0.0.1 192.168.10.0/24

• maxretry, numero máximo de fallas antes de que el Host sea baneado.

maxretry = 6

Con esto claro, ahora es necesario activar fail2ban para los servicios que necesitamos, dichos servicios están entre corchetes, un ejemplo quedaría así:

[ssh-iptables]

enabled  = tue
filter   = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com]
logpath  = /var/log/sshd.log
maxretry = 5

No olvidar también dejar fail2ban activado al inicio de la maquina:

# chkconfig fail2ban on

Fail2ban permitirá decrementar el intento de ataques por fuerza bruta gracias al delay que entrega, pero no olvidemos que siempre la mejor forma de protección es denegar el acceso, bloqueando el puerto con iptables y permitiendo solo algunas IP’s Fijas.

Referencias:

• http://www.centos.org/modules/newbb/viewtopic.php?topic_id=19523

Tags: brute force, centos, dag rpm, fail2ban, fuerza bruta, tip

This entry was posted on Jueves, Abril 23rd, 2009 at 15:40 and is filed under Aplicaciones. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.