Home > Trucs > Fail2ban: com reduir atacs de força bruta

Fail2ban: com reduir atacs de força bruta

Fail2ban és un servei que s’encarrega de repassar els logs d’altres serveis (ssh, ftp, http, etc) buscant intents fallits de penetració, per posteriorment modificar les regles del tallafocs per tal de bloquejar l’origen dels atacs.

Dins la configuració del fail2ban tenim 3 entitats:

  • Filtres: Son les definicions, mitjançant expressions regulars, dels intents fallits de penetració. Per cada servei que analitzem caldrà definir el seu filtre depenent del format del log que analitzem
  • Accions: Son el conjunt d’accions que portarem a terme un com s’hagi detectat un intent de penetració. Per cada intent en podrem executar una o varies. Per exemple, podrem tancar el tallafocs i enviar un correu a l’administrador avisant de l’atac.
  • Jails: Defineixen quines accions es porten a terme després d’aplicar els filtres sobre els fitxers de log del servei a protegir.

Actualment el servei de fail2ban ja es troba empaquetat per Debian/Ubuntu, CentOS per tant per instal·lar-ho només ens caldrà buscar el paquet corresponent i instal·lar-ho.

#apt-get install fail2ban

Podem repassar els serveis que es controlaran consultant-ho al fitxer /etc/fail2ban/jail.conf

En el cas del servei de SSH podem veure que està activat per defecte, quin és el log que es controla i el numero màxim d’intents abans de bloquejar l’atacant.

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Categories: Trucs Tags:
  1. No comments yet.
  1. No trackbacks yet.