Fail2Ban una excelente opciĆ³n para repeler ataques de fuerza bruta en tu servidor

David Y. Naranjo

4 minutos

fail2ban

Uno de los vectores de ataque mĆ”s comunes contra los servidores son los intentos de inicio de sesiĆ³n de fuerza bruta. AquĆ­ es donde los atacantes intentan acceder a su servidor, intentando combinaciones infinitas de nombres de usuario y contraseƱas.

Para este tipo de problemas la soluciĆ³n mas rĆ”pida y efectiva es limitar el numero de intentos y bloquear el acceso al usuario o esa IP por cierto tiempo. AdemĆ”s es importante saber que para esto tambiĆ©n existen aplicaciones de cĆ³digo abierto especĆ­ficamente diseƱadas para defenderse contra este tipo de ataque.

En la publicaciĆ³n de hoy, te presentarĆ© uno se llama Fail2Ban. Desarrollado originalmente por Cyril Jaquier en 2004, Fail2Ban es un marco de software de prevenciĆ³n de intrusiones que protege los servidores de los ataques de fuerza bruta.

Sobre Fail2ban

Fail2ban escanea archivos de registro (/var/log/apache/error_log) y prohĆ­be las IP que muestran actividad maliciosa, como demasiadas fallas en las contraseƱas y la bĆŗsqueda de vulnerabilidades, etc.

En general, Fail2Ban se usa para actualizar las reglas del firewall para rechazar las direcciones IP por una cantidad especĆ­fica de tiempo, aunque tambiĆ©n podrĆ­a configurarse cualquier otra acciĆ³n arbitraria (por ejemplo, enviar un correo electrĆ³nico).

InstalaciĆ³n de Fail2Ban en Linux

Fail2Ban se encuentra dentro de la mayorĆ­a de los repositorios de las principales distribuciones de Linux y mas en especifico en las mas utilizadas para su uso en servidores, tal es el caso como CentOS, RHEL y Ubuntu.

Para el caso de Ubuntu basta con teclear lo siguiente para su instalaciĆ³n:

sudo apt-get update && sudo apt-get install -y fail2ban

Mientras que para el caso de Centos y RHEL, deben teclear lo siguiente:

yum install epel-release
yum install fail2ban fail2ban-systemd

Si cuentan con SELinux es importante actualizar las polĆ­ticas con:

yum update -y selinux-policy*

Hecho esto deben saber en primer plano que los archivos de configuraciĆ³n de Fail2Ban estĆ”n en /etc/fail2ban.

La configuraciĆ³n de Fail2Ban se divide, principalmente, en dos archivos clave; estos son fail2ban.confy jail.conf. fail2ban.confes el archivo de configuraciĆ³n mĆ”s amplio de Fail2Ban, donde puede configurar ajustes como:

  • El nivel de registro.
  • El archivo para iniciar sesiĆ³n.
  • El archivo de socket de proceso.
  • El archivo pid.

jail.conf es donde configura opciones como:

  • La configuraciĆ³n de los servicios a defender.
  • Por cuĆ”nto tiempo prohibir si deberĆ­an ser atacados.
  • La direcciĆ³n de correo electrĆ³nico para enviar informes.
  • La acciĆ³n a tomar cuando se detecta un ataque.
  • Un conjunto predefinido de configuraciones, como SSH.

ConfiguraciĆ³n

Ahora vamos a pasar a la parte de la configuraciĆ³n, lo primero que vamos a hacer es una copia de seguridad de nuestro archivo jail.conf con:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Y procedemos a editar ahora con nano:

nano /etc/fail2ban/jail.local

Dentro vamos a la secciĆ³n [Default] donde podemos realizar algunos ajustes.

AquĆ­ en la parte de ā€œingoreipā€ son las direcciones de IP que quedaran fuera y serĆ”n completamente ignoradas por Fail2Ban, es decir bĆ”sicamente la IP del servidor (la local) y las otras que consideres que se deben ignorar.

De ahĆ­ en fuera las demĆ”s IP que tengan accesos fallidos estarĆ”n a merced de ser baneadas y esperar la cantidad de segundos que estarĆ” baneada (por default son 3600 segundos) y que fail2ban solo actĆŗa despuĆ©s de 6 intentos fallidos

DespuĆ©s de la configuraciĆ³n general, ahora indicaremos el servicio. Fail2Ban ya tiene algunos filtros predefinidos para varios servicios. AsĆ­ que solo haz algunas adaptaciones. AquĆ­ hay un ejemplo:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Con los cambios pertinentes realizados, finalmente necesitaran volver a cargar Fail2Ban, ejecutƔndo:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Una vez hecho esto, hagamos una comprobaciĆ³n rĆ”pida para ver que Fail2Ban se estĆ” ejecutando:

sudo fail2ban-client status

Desbanear una IP

Ahora que hemos prohibido con Ć©xito una IP, ĀæquĆ© pasa si queremos desbanear una IP? Para hacer eso, nuevamente podemos usar fail2ban-client y decirle que desbanee una IP especĆ­fica, como en el siguiente ejemplo.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

Donde ā€œxxxā€¦.ā€ sera la direcciĆ³n IP que tĆŗ indiques.