Gravatar de Armonth

Fail2ban: expulsar usuarios que fallan al autentificarse

Publicado el Lunes 30 de Abril del 2007 @ 19:38 por Armonth.

Llevaba un par de semanas probando fail2ban un programa GPL que monitoriza los registros (logs) y si detecta usuarios que fallan al autentificarse los expulsa añadiendo la IP al IPTables (el cortafuegos de GNU/Linux).

Tenía pendiente recomendarlo y un comentario de Ricardo Galli en el nótame me lo ha recordado (”tengo instalado el fail2ban es muy bueno”).

Por defecto está preparado para leer de los registros de Apache, ssh y vsftpd (un servidor ftp bastante popular). Las acciones que puedes realizar entre otras son añadir la IP a IPTables, añadirla como regla al hostdeny o enviar una notificación por email.

Este tipo de software suele ser muy útil sobretodo para descartar ataques de fuerza bruta (si ya cuesta encontrar una contraseña compleja, no digamos si cada dos o tres intentos te expulsan mínimo diez minutos) e incluso puede reducir la congestión que genera un ataque de este tipo.

Otra ventaja que tiene: es fácilmente extensible, solamente hace faltar un registro en ASCII y/o un filtro para leerlo. Y está en el repositorio de Debian ;)

, ,

8 Comentarios (feed)

  1. Gravatar de logadmin logadmin nos comenta:

    Me recuerda al portsentry, fue uno de los primeros programas de seguridad que instale en los servidores. Tenía todo configurado, cuando detectaba un escaneo de algún equipo automáticamente lo añadía a IPtables. Se me quito la cara de felicidad, al ver como testeándolo, hacías un escaneo espoofeando la IP origen por uno o varios DNS válidos y la propía máquina se quedaba sin conexión, se hacía un DOS propio.

    Por eso soy contrario a cualquier sistema que modifica las IPtables automáticamente, con un aviso al mail o jabber suficiente.

    Con fail2ban, ¿será posible hacer lo mismo?

    Lunes, 30 de Abril/2007 @ 20:19

  2. Gravatar de Armonth Armonth nos comenta:

    Vuelve a leer el artículo que eso lo conteste xD puedes banear la IP, añadirla al denyhosts o mandarte un mail…

    Por otro lado el portsentry ese debía ser muy poco maduro porque mira que autobanearse…

    Lunes, 30 de Abril/2007 @ 21:10

  3. Gravatar de TuXeD TuXeD nos comenta:

    Armonth creo que logadmin se refiere a que si spoofeabas la IP de los servidores DNS de la máquina víctima y hacías un ataque, portsentry baneaba la IP origen en el iptables, y el servidor se quedaba sin DNS y por tanto ’sin conexión’. Aunque mejor que lo confirme él :)

    Si es como yo lo he entendido, supongo que con el fail2ban será lo mismo, no creo que compruebe que la IP de origen es el servidor DNS… una opción para arreglarlo sería añadir una regla al principio de cada cadena (INPUT y OUTPUT) que acepte explícitamente el tráfico DNS de los servidores.

    Si me he rayado y no he entendido el problema, sorry :$

    Lunes, 30 de Abril/2007 @ 22:07

  4. Gravatar de Pi Pi nos comenta:

    Yo usé fail2ban en un server dedicado que administraba hace un tiempo y me iba perfecto…. En increíble la cantidad de ataques de diccionario al ssh que podía llegar a tener.

    Desde luego 100% recomendado, fácil de instalar, y hace su función perfectamente.

    Algo que tengo ganas de probar son los port knockers (knockd) para cerrar el puerto ssh hasta que llegue la secuencia correcta.

    Un saludo

    Lunes, 30 de Abril/2007 @ 22:41

  5. Gravatar de logadmin logadmin nos comenta:

    #Tuxed, eso es lo que quería decir, baneabas el server con sus propios DNS vía nmap -S server-con-portsentry
    Y el mismo se ponía una regla IPT contra sus DNS. Claro que siempre podías configurarlo para que no se comportara así, pero ya no me gustó tanto la idea.

    En este caso con fail2ban para banear a un usuario legitimo tendrías que saber previamente su IP, por lo que no valdría para lo que he contado, al menos no de manera tan sencilla.

    Lo probaré, aunque con cierta cautela y con un número alto de intentos antes de bloquear, porque algunos usuarios de los servidores que administro son muy torpes y les bloquearía a la gran mayoría aún siendo ellos mismos. :D

    Martes, 1 de Mayo/2007 @ 0:27

  6. Gravatar de Ordago Ordago nos comenta:

    Esto la verdad es que me fastidiaría, pues no siempre me acuerdo de mi contraseña a la primera. (me refiero a los sitios que no visito frecuentemente)

    Martes, 1 de Mayo/2007 @ 1:27

  7. Gravatar de Javier Arturo Rodriguez Javier Arturo Rodriguez nos comenta:

    El problema de estos programas es que es trivial hacer IP spoofing para montar un DOS sobre el server para autobannear -digamos- tu LAN o tu gateway, por lo que no es convieniente hacer banning a ciegas. Pero con alguna logica adicional podria ser una buena herramienta.

    Martes, 1 de Mayo/2007 @ 2:38

  8. Gravatar de Armonth Armonth nos comenta:

    Javier en estos casos se supone que debe haber listas blancas ¿no? :)

    Martes, 1 de Mayo/2007 @ 7:19

No seas tímido, da tu opinión

Sé respetuoso con los demás, la diferencia de opiniones enriquece la discusión, los comentarios bajo ciertas circunstancias pueden ser moderados y requerir aprobación.