fail2ban (baneando IP’s automáticamente).

By 15 de diciembre de 2006 Linux 6 Comments

Imagen 1.pngHola,

Recientemente he estado observando en un servidor ataques incesantes al puerto 22 (sshd), hasta 113 veces !!

Existe una aplicación que nos puede ayudar bastante a disuadir a quien quiera hacerlo, la aplicación se llama fail2ban.

A continuación describo los pasos para instalar dicha aplicación en una Red Hat Linux (pero para una debianLike con aptitude, va finísimo).

Añadimos la clave GPG de dag:

[email protected] [~]# rpm --import http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt

Obtenemos la aplicación con wget:
[email protected] [~]# wget -c ftp://rpmfind.net/linux/dag/fedora/3/en/i386/dag/RPMS/fail2ban-0.6.0-1.fc3.rf.i386.rpm
--23:10:25-- ftp://rpmfind.net/linux/dag/fedora/3/en/i386/dag/RPMS/fail2ban-0.6.0-1.fc3.rf.i386.rpm
=> `fail2ban-0.6.0-1.fc3.rf.i386.rpm'
Resolving rpmfind.net... 195.220.108.108, 194.199.20.114
Connecting to rpmfind.net|195.220.108.108|:21... connected.
Logging in as anonymous ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD /linux/dag/fedora/3/en/i386/dag/RPMS ... done.
==> PASV ... done. ==> RETR fail2ban-0.6.0-1.fc3.rf.i386.rpm ... done.
Length: 43,744 (43K) (unauthoritative)

100%[==================================================================================================================>] 43,744 34.95K/s

23:10:31 (34.89 KB/s) - `fail2ban-0.6.0-1.fc3.rf.i386.rpm' saved [43744]

Procedemos a la instalación de la misma:
[email protected] [~]# rpm -iUv fail2ban-0.6.0-1.fc3.rf.i386.rpm
Preparing packages for installation...
fail2ban-0.6.0-1.fc3.rf

Editamos el fichero de configuración:

[email protected] [~]# vim /etc/fail2ban.conf
Todo es muy intuitivo en esta parte de la instalación, uno de los datos que se pueden cambiar es, por ejemplo, el tiempo de baneo de la IP.

# Option: bantime
# Notes.: number of seconds an IP will be banned.
# Values: NUM Default: 600
#
bantime = 6000

ó la cantidad de intentos:

# Option: maxfailures
# Notes.: number of failures before IP gets banned.
# Values: NUM Default: 5
#
maxfailures = 5

Iniciamos el servicio, y listos!

[email protected] [~]# /etc/init.d/fail2ban restart
Starting fail2ban:

Web de la aplicación: http://fail2ban.sourceforge.net/wiki/index.php/Main_Page

6 Comments

  • Jordi dice:

    Precisamente este tipo de aplicaciones son las primeras que desaconsejan los libros de seguridad informática... descubrirás porqué el dia que falles el login y neceistes urgentemente entrar en esa máquina (un sabado noche o un domingo)

    Saludos!

  • Solusan dice:

    Si señor 😉

    Para paliar ese efecto, mejor cambiar el puerto de acceso a ssh por ejemplo.

    Con eso el 97% de los accessos ya lo tienen más difícil.

  • p3ntium dice:

    Además de cambiar el puerto (a uno no conocido), si aún sigues recibiendo ataques, usa "port knocking". Así aumentarás la seguridad del ssh considerablemente. Buscate una app para ello, o háztelo a mano combinando ippl + script.

    Saludos!

  • root dice:

    El ssh, si puedes, filtralo unicamente a una serie de IPs...

  • Lupin dice:

    El "port knocking" es una buena idea, pero siempre lo he visto algo "paranoico". Yo veo más sencillo realizar 2 actuaciones sencillas que te ayudan a mantener la máquina segura y sin lios.
    1 .- Cambiar el puerto de SSH, como ya han comentado.
    2 .- Filtrar el acceso únicamente a 1 usuario (creado a tal efecto sin apenas permisos salvo SU).

    Eso sí, la seguridad de ese "usuario_ssh" debe ser alta, [email protected]_raro ([email protected]#s90) y ale... a correr!!!

  • Lo de cambiar el puerto ssh no sirve demasiado Y la verdad encuentro que el port-knocking, por lo poco que me han explicado y he leido, es un servicio nada fiable para mi gusto, ya que las ordenes las envía en paquetes UDP bastante sencillos (con una ataque de fuerza bruta si te bloquea la IP destino a un número concreto de ataques le envías un paquete con una dirección falsa,ya que al no necesitar contestación tu feliz XD).

    En fin... tal como dijo mi estimado ZENZEI, el mejor sistema es aquel que está apagado, nunca falla y no pueden entrar... CLOSE WINDOWS MY FRIENDS...

    pd: tal como me dijo un amigo, no tengo ni idea. Así que si has leido mi respuesta que sepas que has malgastado un tiempo valioso de tu vida...

Leave a Reply

Your email address will not be published.