Bloquear IP que realizan ataques de fuerza bruta.

Los ataques de fuerza bruta suelen ser los más utilizados para atacar un servicio, ya que son los ataques más populares y fáciles de ejecutar con herramientas automatizadas. En este post voy a hablar de dos herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del atacante. Por ejemplo, si un usuario falla más de 5 veces el login en SSH, bloquear dicha IP y el usuario.

En Linux.

Utilizamos la herramienta Fail2ban, su funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La acción más corriente es bloquear el usuario o la Ip en iptables.

El fichero de configuración es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las acciones en caso de ataque, existen parámetros como:

  • ignoreip: IPs de nuestra área local que aunque se equivoquen en el login no serán bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
  • maxretry: Número máximo de intentos de login.
  • bantime: Tiempo en segundos que el usuario que falló el login se quedara sin poder acceder al servicio especificado. Si se asigna el valor -1 será permanente.
  • filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio /etc/fail2ban/filter.d.
  • destemail: Dirección de correo electrónico donde enviara las alertas.

Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log /var/log/fail2ban.log.

Esta herramienta está disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.

Más información y descarga de Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page

FAQ de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/FAQ_spanish

HOWTO de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish

En Windows.

Se trata de WinFail2ban, su funcionamiento está basado en Fail2ban de Linux pero es menos versátil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban también incluye la opción de enviar las alertas por correo electrónico.

Más información y descarga de WinFail2ban:
http://winfail2ban.sourceforge.net/

4 comentarios en “Bloquear IP que realizan ataques de fuerza bruta.

  • el enero 28, 2009 a las 9:45 pm
    Permalink

    Muy interesante. Mi duda es.
    Se necesita un firewall o puede usarse sin él?

    Respuesta
  • el enero 29, 2009 a las 12:23 am
    Permalink

    No es necesario un firewall porque tiene mecanismo como bloqueo de usuarios durante un tiempo… Pero es aconsejable tener un firewall para bloquear la IP aunque en caso de la herramienta para Windows puede utilizar un enrutamiento incorrecto para bloquearla.

    Respuesta
  • el enero 30, 2009 a las 5:20 pm
    Permalink

    Hola: Quería contarles que ya pueden aplicar para recibir una beca de Becas Control F para estudiar programación (java, oracle, sql) gratis. Entren a becascontrolf.com.ar y averiguen!!!

    Respuesta
  • el febrero 3, 2009 a las 12:51 pm
    Permalink

    similar es denyhost, que deja las ip bloquedas en /etc/hosts.deny

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: