Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios.
 |
Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.
APF.
Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.
Configuración básica:
Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:
# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN=»eth0″
IFACE_OUT=»eth0″
Después es posible configurar los interfaces de red para que los ignore.
# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED=»eth1″
Luego puertos TCP de entrada permitidos.
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS=»80, 110,443″
Puertos UDP de entrada permitidos.
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=» 110″
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP ports
EG_TCP_CPORTS=»80, 110,443″
Puertos UDP de salida permitidos.
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=» 110″
Entradas ICMP permitidas:
# Common ICMP (inbound) types
# ‘internals/icmp.types’ for type definition; ‘all’ is wildcard for any
IG_ICMP_TYPES=»3,5,11″
Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…
Más información y descarga de APF:
http://www.rfxn.com/projects/advanced-policy-firewall/
BFD.
Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.
Configuración básica:
Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.
TRIG=10
Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.
EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es
Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.
Más información y descarga de BFD:
http://www.rfxn.com/projects/brute-force-detection/
DDoS Deflate.
Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.
Configuración básica:
Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.
FREQ=1
Después número de conexiones máximas permitidas antes de proceder a bloquear IP:
NO_OF_CONNECTIONS=160
Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.
APF_BAN=1
Tiempo en minutos, en el que la IP atacante será bloqueada:
BAN_PERIOD=500
Dirección de email a la que notificar cuando actúa DDoS Deflate.
EMAIL_TO=” administrador@servidor.es”
Más información y descarga de DDoS Deflate:
http://deflate.medialayer.com/
Auditar el impacto de ataques de denegación de servicios y fuerza bruta:
http://vtroger.blogspot.com/2009/02/auditar-el-impacto-de-ataques-de.html
guaaa!! me encanta el blog, siempre encuentro temas muy interesantes.