Popular channels

Fail2ban - Para dar protección a tu servidor.









Hola Taringueros, hoy me debuto con mi primer post en esta comunidad, voy a tratar de ayudar con la seguridad en Linux, hace tiempo que tengo un servidor debian linux ofreciendo servicios hacia internet, y estos servicios son administrados a través de un user y password, que es lo que pasa generalmente?, se reciben ataques por fuerza bruta con algún software mal intencionado y tratando de descifrar la clave root a travez de un diccionario.
la forma de evitarlo es con Fail2ban, cabe destacar que también se debe tener una buena configuración en iptables y que este tutorial esta hecho para utilizarlo sobre la plataforma Debian o Ubuntu.
FAIL2BAN es una aplicación en Linux que sirve para contabilizar los logueos de un posible atacante, si este atacante trata de loguearse y a su tercer intento falla el logueo, entonces Fail2ban bloquearía ese ip por el tiempo que nosotros le asignemos, esto puede variar, generalmente yo le dejo 10 minutos, más que suficiente para evitar un ataque por fuerza bruta.

Elementos/herramientas que necesitaremos


1-Un servidor debian con SSH instalado
2- Aplicación Fail2ban
3-Nano (editor de texto para configurar archivos .conf)
4-Cafe para estar bien despiertos.

Primero debemos instalar Fail2ban de la siguiente manera

apt-get install fail2ban


Esperan hasta que se baje completo, luego de esto debemos renombrar el archivo original de configuración para tener una copia del archivo original por cuestiones de seguridad

mv /etc/fail2ban/jail.conf /etc/fail2ban/jail.confORI



mv = con este comando podemos renombrar el archivo, funciona de la siguiente manera, es como si lo moviera al archivo pero al moverlo le cambia el nombre por el que ustedes quieran respetando el siguiente formato

mv [directorio y archivo a cambiar nombre] espacio [Direcorio y nuevo nombre]

el archivo jail.conf es el archivo configurable que nos sirve para determinar las normas de seguridad y como queremos implementarlas.


Editamos el archivo jail.conf de la siguiente manera

nano /etc/fail2ban/jail.conf




aparecerá una pantalla para realizar la configuración



pero antes de llenar los datos debemos conocer más sobre los parámetros que irán en la configuración


ignoreip : IPs que deseamos que ignore FAIL2BAN
bantime : Tiempo que el usuario que fallo el logeo se quedara sin poder acceder al servicio especificado en segundos.
maxretry : Numero de intentos de logeo.
destemail: Dirección de correo donde nos enviará las nuevas alertas (se debe tener configurado un SMTP)
action : simboliza la manera en que iptables aplicará las reglas
mail-whois-lines :se especifica como mandar el email en el caso de que alguien quiera realizar una intrusión.
enable :ubicar True o False para determinar el prendido o el apagado de la regla aplicada.
port :nombre del servicio que está relacionado con el puerto por ejemplo "ssh"
logpath : Ruta donde se ubicaran los ficheros Logs para ver toda la información según cual sea el servicio.
findtime : : si alguien prueba una x cantidad de ataques en un determinado periodo de tiempo especificado en segundos


Un ejemplo de como puede ser la configuración del archivo Jail.conf

[DEFAULT]

ignoreip = 127.0.0.1 192.168.1.0/24
bantime = 300
maxretry = 3
backend = polling
destemail = "MI Email"
action = iptables[name=%(__name__)s, port=%(port)s]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]



enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
findtime = 600

[ apache ]

enabled = true
port = http
filter = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 3
findtime = 600

[apache-noscript]

enabled = true
port = http
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 3
findtime = 600

[proftpd]

enabled = true
port = ftp
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 3
findtime = 600




CTRL+O para guardar
CTRL+X para salir

para finalizar el tutorial solo deben iniciar el servicio de Fail2ban de la siguiente manera

fail2ban-client start



bueno gente de taringa me despido, les comento que este material es material escrito a mano por mi, todo este conocimiento lo conseguí investigando en webs o leyendo en libros, pueden implementar este servicio, a mi me fue muy util para evitar esos ataques molestos.

Montar servidor DNS y usarlo como cache en debian 

Telefonía Ip, conceptos básicos   

Instalar ALIEN en Linux 

Configurar y lenvantar interfaces a través de CLI Linux 

Configuración de DHCP en Debian 

Crear una VPN exitosa en debian 

Cambiar resolución de Pantalla modo consola en Linux 

Instalar Netbeans 7.1.1 en Linux Debian/Ubuntu
Deshabilitar Hibernación y suspención por consola 

Chatear en Spark, reservado para los linuxeros.

Espero que les haya gustado, y si pueden tirenme unos puntos así llego a full user.



SALUDOS!!

0
3
0
3Comments
Laxtour

Hola daniel .. si estuve familiarizado con asterisk.

0
danielarario

Nunca me llego la notificacion, porque lo pusiste como comentario, y no como respuesta XD.
Viste la nueva pagina:
http://gnulibre.com/

0
Laxtour

@danielarario Muy bueno.. graciass

0
danielarario

Muy bueno, sabes algo de asterisk?

0
comodo45

lo leere ahora en la madrugada, pero esta interesante

0