Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios.

Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.

APF.

Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.

Configuración básica:

Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:

# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN=»eth0″
IFACE_OUT=»eth0″

Después es posible configurar los interfaces de red para que los ignore.

# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED=»eth1″

Luego puertos TCP de entrada permitidos.

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS=»80, 110,443″

Puertos UDP de entrada permitidos.

# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=» 110″

Luego puertos TCP de salida permitidos.

# Common egress (outbound) TCP ports
EG_TCP_CPORTS=»80, 110,443″

Puertos UDP de salida permitidos.

# Common egress (outbound) UDP ports
EG_UDP_CPORTS=» 110″

Entradas ICMP permitidas:

# Common ICMP (inbound) types
# ‘internals/icmp.types’ for type definition; ‘all’ is wildcard for any
IG_ICMP_TYPES=»3,5,11″

Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…

Más información y descarga de APF:
http://www.rfxn.com/projects/advanced-policy-firewall/

BFD.

Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.

TRIG=10

Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.

EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es

Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.

Más información y descarga de BFD:
http://www.rfxn.com/projects/brute-force-detection/

DDoS Deflate.

Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.

FREQ=1

Después número de conexiones máximas permitidas antes de proceder a bloquear IP:

NO_OF_CONNECTIONS=160

Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.

APF_BAN=1

Tiempo en minutos, en el que la IP atacante será bloqueada:


BAN_PERIOD=500

Dirección de email a la que notificar cuando actúa DDoS Deflate.


EMAIL_TO=” administrador@servidor.es”

Más información y descarga de DDoS Deflate:
http://deflate.medialayer.com/

Auditar el impacto de ataques de denegación de servicios y fuerza bruta:
http://vtroger.blogspot.com/2009/02/auditar-el-impacto-de-ataques-de.html

Un comentario en “Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios.

  • el julio 9, 2011 a las 9:53 am
    Permalink

    guaaa!! me encanta el blog, siempre encuentro temas muy interesantes.

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: