2. Fail2ban analiza los archivos de registro como / var /
log / pwdfail o / var / log / apache / error log y la propiedad
intelectual que hace que las prohibiciones de los errores de
contraseña. En él se actualizan las reglas de firewall para
rechazar la dirección IP. Estas reglas pueden ser definidas por el
usuario.
Fail2ban puede leer varios archivos de registro, tales como sshd
o los servidores web Apache.
3. características principales disponibles en Fail2ban
.
•Arquitectura cliente / servidor.
•Multi-threaded.
•Altamente configurable.
•FAM / Gamin apoyo.
•Analiza los archivos de registro y busca patrones dados.
•Ejecuta comandos cuando un patrón que se ha detectado la misma
dirección IP para más de X veces. X se puede cambiar.
•Después de un período de tiempo determinado, se ejecuta otro
comando con el fin de quitar el ban a la dirección IP.
•Utiliza Netfilter / iptables por defecto, pero también puede usar TCP
Wrapper ( / etc / hosts.deny ) y muchas otras acciones.
•Maneja los archivos de registro de la rotación.
•Puede manejar más de un servicio (sshd, apache, vsftpd, etc.)
•Resuelve el nombre de host a la dirección IP del DNS.
4. Esquema de directorios
/etc/fail2ban/
├── action.d
│ ├── dummy.conf
Viendo el esquema de │ ├── hostsdeny.conf
directorios podemos │ ├── iptables.conf
imaginar que primero filtra │ ├── mail-whois.conf
│ ├── mail.conf
los datos que coge de los │ └── shorewall.conf
logs y luego en función de ├── fail2ban.conf
lo que obtenga ejecuta la ├── filter.d
acción correspondiente. │ ├── apache-auth.conf
│ ├── apache-noscript.conf
│ ├── couriersmtp.conf
│ ├── postfix.conf
│ ├── proftpd.conf
│ ├── qmail.conf
│ ├── sasl.conf
│ ├── sshd.conf
│ └── vsftpd.conf
└── jail.conf
5. Fail2ban es un marco de prevención
de intrusiones escrito en Python
Fail2ban es capaz de proteger contra
los intentos de intrusos sobre los
protocolos FTP, SSH, SFTP y POP3,
HTTP (Apache), Kerberos, los ATM.
Servidores de correo, VPN y
probablemente aún más.
6. Fail2ban es un software importante para el administrador del
sistema. Se analiza los archivos de registro (por ejemplo, /
var / log / auth.log) y la prohibición de IPs que muestran
signos maliciosos, algo así como errores de contraseña
demasiadas y en busca de hazañas.
7. Una medida sencilla y que hemos encontrado efectiva para
prevenir ataques de diccionarios de contraseñas hacia
Asterisk, es el uso de Fail2Ban + IPTables.
Las recomendaciones mínimas en cuestión de seguridad VoIP,
no son diferentes de las de cualquier otro servicio de red:
• Usar firewall y/o SBC (Session Border Controller).
• Manejar claves fuertes.
En lo posible utilizar protocolos con cifrado o VPN
• Restringir el acceso solamente desde las redes autorizadas
• Limitar el número máximo de conexiones.
• Ignorar mensajes demasiado grandes o intencionalmente
malformados
• Revisar los logs o registros periódicamente.
8. Para instalar fail2ban , ejecuta el siguiente comando:
# Apt-get install fail2ban
Abra el archivo de configuración para activar algunas reglas:
# Nano / etc/fail2ban/jail.conf
Encuentra la línea siguiente para establecer el destino de correo
electrónico para la notificación:
destemail = root@yourdomain.com
Encuentra la línea siguiente para establecer el tiempo de la
prohibición:
bantime = 3600
9. * Aquí podemos ver un ejemplo de filtro para ssh
Para habilitar ssh protección, asegúrese de que el archivo
contiene las siguientes líneas:
1 [Ssh]
2 enabled = true
3 port = ssh
4 filter = sshd
5 logpath = / var / log / auth.log
6 maxretry = 4
Reinicie fail2ban :
# / Etc/init.d/fail2ban reinicio
Monitor de fail2ban registro:
# Tail-f / var/log/fail2ban.log
10. El fichero de configuración es el /etc/fail2ban/jail.conf.
En este fichero se pueden definir las acciones en caso de
ataque, existen parámetros como:
ignoreip: IPs de nuestra área local que aunque se equivoquen
en el login no serán bloqueadas y por tanto quedan excluidas de
las acciones de Fail2ban.
maxretry: Número máximo de intentos de login.
bantime: Tiempo en segundos que el usuario que falló el login
se quedara sin poder acceder al servicio especificado. Si se
asigna el valor -1 será permanente.
filter: Se utiliza para aplicar los filtro que incluye la herramienta
en el subdirectorio /etc/fail2ban/filter.d.
destemail: Dirección de correo electrónico donde enviara las
alertas.
11. Fail2ban es software libre, puede
redistribuirlo y / o modificarlo bajo
los términos de la Licencia Pública
General de GNU según es
publicada por la Free Software
Foundation.