de un origen que intenta realizar un proceso de fuerza bruta. En otras palabras, cuando una dirección IP o varias intentan realizar un ataque de fuerza bruta sobre un servicio, como puede ser FTP, SSH, etcétera, esta aplicación detectará y penalizará dichos comportamientos.
Fail2ban se encarga de realizar una
búsqueda en los logs de ciertas aplicaciones, las cuales se
especificarán por parte del administrador en su configuración. Fail2ban
contiene reglas que han sido configuradas por el usuario para aplicar
penalización, la cual puede interpretarse como bloqueo de la aplicación
en un determinado puerto, bloqueo para todos los puertos, etcétera. La
penalización y las reglas serán definidas por el usuario.
Cuando Fail2ban detecta una serie de
intentos fallidos, los cuales son predefinidos por el usuario, la
aplicación determina la acción a tomar sobre la dirección IP que provocó
dicha situación. Se puede, simplemente, notificar mediante un email el
suceso ocurrido, denegar el acceso a la dirección IP, denegarla en
determinado puerto y habilitarla en otros, mediante la utilización de
iptables o el firewall que corresponda. Además, se puede configurar las
prohibiciones pasado un determinado período.
Ejemplo básico
En el siguiente escenario se presenta un
servidor SSH implementado sobre un Ubuntu y una máquina Backtrack que
se utiliza de cliente para las conexiones SSH. La máquina Ubuntu ha sido
configurada para que al tercer intento de contraseña fallido se prohíba
la conexión de la máquina Backtrack con el servidor.
En la siguiente imagen se puede
visualizar como queda registrada una dirección IP y la fecha en la que
ha sido baneada. Este hecho es importante ya que cuantos más datos
queden almacenados más sencillo será llevar a cabo un proceso forense
sobre lo que ha sucedido.
Para ver la configuración del fichero /etc/fail2ban/jail.conf se puede visualizar en la imagen:
Fuente: Flu-project
Fuente: Flu-project
No hay comentarios:
Publicar un comentario