15:28
jcc
Para saber defenderse hay que saber atacar, es por eso que en entradas anteriores hemos tratado de explicar las formas de realizar ataques de fuerza bruta con herramientas que nos ayudan a automatizar este tipo de ataque.
Ahora trataremos de defendernos de esos ataques utilizando una herramienta escrita en Python: Fail2ban.
¿Como funciona Fail2ban?
- Escanea los log o registros de los servicios que le indiquemos en la configuración (Eje.: //var/log/pwdfail pwdfail).
- Luego banea la dirección ip desde donde se han realizado demasiados intentos de logueo.
- Actualiza las reglas en el firewall para rechazar la ip del atacante. Estas reglas pueden ser definidas por el usuario.
Instalación
apt-get install fail2ban
Configuración
Tenemos que localizar el archivo de configuración y adaptarlo a nuestras necesidades, con unos pequeños retoques estaremos listos.
El archivo en cuestión es: /etc/fail2ban.conf
Ahora lo editamos con nuestro editor favorito y vamos recorriendo las lineas que tiene y cambiaremos las que más nos interesan:
Para este tutorial utilicé: Fail2Ban v0.5.1 , en otras versiones algunos de estos parametros los puedne encontrar en el archivo jail.conf
Para este tutorial utilicé: Fail2Ban v0.5.1 , en otras versiones algunos de estos parametros los puedne encontrar en el archivo jail.conf
¿Dónde van a estar los logs?
logtargets = /var/log/fail2ban.log
¿Cuántos intentos vamos a dejar antes de banear la ip?
Por defecto viene en 3
# Option: maxretry.
# Notes.: number of retrys before IP gets banned..
# Values: NUM Default: 3.
#.
maxretry = 3
¿Cuánto tiempo vamos a banear a la ip que intenta atacarnos?
Por defecto vienen 600 segundos, que son 10 minutos, por ejemplo 36000 son 10 horas.
# Option: bantime.
# Notes.: number of seconds an IP will be banned..
# Values: NUM Default: 600.
#.
bantime = 36000
Con estas opciones podemos decirle a nuestro sistema de que nos informe cuando fail2ban es iniciado.
# Option: cmdstart.
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD Default:.
#.
cmdstart = echo "Se ha iniciado fail2ban" | mail -s "Fail2ban" midoreccionATtuservidor.com
Que se a detenido:
cmdend =echo "Se ha detenido fail2ban" | mail -s "Fail2ban" midoreccionATtuservidor.com
Queremos que nos avise al correo cuando se banea alguna ip, así que activamos esta opción.
[MAIL]
# Option: enabled.
# Notes.: enable mail notification when banning an IP address..
# Values: [true | false] Default: false.
#.
enabled = true
Ahora tenemos que meter los datos de nuestro servidor de correo
# Option: host.
# Notes.: host running the mail server..
# Values: STR Default: localhost.
#.
host = email.tuservidor.com
# Option: port.
# Notes.: port of the mail server..
# Values: INT Default: 25.
#.
port = 25
Ahora rellenamos dos campos muy sencillos, que serán, el remitente del correo y a quién debe enviarlo, este es mi caso:
# Option: from.
# Notes.: e-mail address of the sender..
# Values: MAIL Default: fail2ban.
#.
from = fail2ban
# Option: to.
# Notes.: e-mail addresses of the receiver. Addresses are space.
# separated..
# Values: MAIL Default: root.
#.
to = securityATtuservidor.com
El asunto del correo lo definimos en:
# Option: subject.
# Notes.: subject of the e-mail..
# Tags: <ip> IP address.
# <failures> number of failures.
# <failtime> unix timestamp of the last failure.
# Values: TEXT Default: [Fail2Ban] Banned <ip>.
#.
subject = [Fail2Ban] Se ha baneado a <ip>..
Y ahora el cuerpo del correo que nos será enviado:
# Option: message.
# Notes.: message of the e-mail..
# Tags: <ip> IP address.
# <failures> number of failures.
# <failtime> unix timestamp of the last failure
# <br> new line.
# Values: TEXT Default: .
#.
message = La ip <ip> ha sido baneada por Fail2Ban despues de <failures> intentos fallidos...
Ahora nos metemos ya en la configuración de los servicios por los que fail2ban velará en nuestro sistema
Comenzaremos con SSH
[SSH]
# Option: enabled
# Notes.: enable monitoring for this section.
# Values: [true | false] Default: true
#
enabled = true
Ahora debemos indicarle, al igual que hicimos con Apache, donde ha de recoger los datos en los que basarse para banear ips, en mi caso, los logs del sshd están en /var/log/secure
# Option: logfile
# Notes.: logfile to monitor.
# Values: FILE Default: /var/log/secure
#
logfile = /var/log/secure
Pasamos directamente a las ordenes que se le pasaran a iptables tanto para banerar como para desbanear ips, las podemos dejar por defecto.
# Option: fwbanrule
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <failtime> unix timestamp of the last failure
# <bantime> unix timestamp of the ban time
# Values: CMD
# Default: iptables -I INPUT 1 -i eth0 -s <ip> -j DROP
#
fwban = iptables -I INPUT -s <ip> -j DROP
# Option: fwunbanrule
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <bantime> unix timestamp of the ban time
# <unbantime> unix timestamp of the unban time
# Values: CMD
# Default: iptables -D INPUT -i eth0 -s <ip> -j DROP
#
fwunban = iptables -D INPUT -s <ip> -j DROP
Y ya, solo tenemos que fijarnos en las palabras clave que ha de buscar fail2ban en los logs para determinar cuando sí y cuando no se está intentando el login
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
# Values: TEXT Default: Authentication failure|Failed password|Invalid user
#
failregex = Authentication failure|Failed password|Invalid user
Con esto ya estamos protegiendo el servicio SSH de ataques de fuerza bruta.
Iniciamos fail2ban como root y esperamos los resultados, los que podemos revisar en los logs de fail2ban.
Posted in:
0 comentarios :
Publicar un comentario