lunes, 11 de febrero de 2013

Fail2ban para banear fuerza bruta

Compartir este artículo:

Esta aplicación desarrollada en el lenguaje Python permite la prevención de intrusos en un sistema. Su función es penalizar la conexión, ya sea por medio de un bloqueo, de un origen que intenta realizar un proceso de fuerza bruta. En otras palabras, cuando una dirección IP o varias intentan realizar un ataque de fuerza bruta sobre un servicio, como puede ser FTP, SSH, etcétera, esta aplicación detectará y penalizará dichos comportamientos.

Fail2ban se encarga de realizar una búsqueda en los logs de ciertas aplicaciones, las cuales se especificarán por parte del administrador en su configuración. Fail2ban contiene reglas que han sido configuradas por el usuario para aplicar penalización, la cual puede interpretarse como bloqueo de la aplicación en un determinado puerto, bloqueo para todos los puertos, etcétera. La penalización y las reglas serán definidas por el usuario.

Cuando Fail2ban detecta una serie de intentos fallidos, los cuales son predefinidos por el usuario, la aplicación determina la acción a tomar sobre la dirección IP que provocó dicha situación. Se puede, simplemente, notificar mediante un email el suceso ocurrido, denegar el acceso a la dirección IP, denegarla en determinado puerto y habilitarla en otros, mediante la utilización de iptables o el firewall que corresponda. Además, se puede configurar las prohibiciones pasado un determinado período.

Ejemplo básico

En el siguiente escenario se presenta un servidor SSH implementado sobre un Ubuntu y una máquina Backtrack que se utiliza de cliente para las conexiones SSH. La máquina Ubuntu ha sido configurada para que al tercer intento de contraseña fallido se prohíba la conexión de la máquina Backtrack con el servidor.

En la siguiente imagen se puede visualizar como queda registrada una dirección IP y la fecha en la que ha sido baneada. Este hecho es importante ya que cuantos más datos queden almacenados más sencillo será llevar a cabo un proceso forense sobre lo que ha sucedido.

Para ver la configuración del fichero /etc/fail2ban/jail.conf se puede visualizar en la imagen:

1 comentario:

  1. [...] lunes arrancamos la semana hablando de Fail2ban para banear fuerza bruta, una interesante utilidad para securizarnos ante ataques de fuerza [...]

    ResponderEliminar

Related Posts Plugin for WordPress, Blogger...