Uno de los tipos más comunes de ataques de hackers, entre los DDoS, es el ataque de fuerza bruta. Lo llevan a cabo hackers que ejecutan un script que contiene una lista de millones y millones de contraseñas posibles en un tiempo récord. Los objetivos más comunes de este tipo de ataques son robar información personal, utilizar su información para phishing, arruinar la reputación de su organización y comprometer su sitio web. La mayoría de las empresas que sufren un ataque exitoso de este tipo cierran en unos seis meses. Un ataque de fuerza bruta puede reconocerse al observar un aumento de la carga en su servidor debido a la afluencia de solicitudes de publicación o al ver intentos fallidos de inicio de sesión procedentes de una dirección IP. Ahora, hablemos de cómo puede prevenir estas violaciones de seguridad en su sitio web.
Instalación de Fail2Ban en un VPS
Para VPS, Fail2Ban es un software diseñado específicamente para proteger su servidor mediante el reconocimiento de patrones que podrían parecerse a un ataque en sus servicios y servidores. Si el ataque está en curso, el software bloqueará la IP de origen. Un ataque activo puede reconocerse como intentos fallidos repetidos de iniciar sesión en sus servidores a través del protocolo SSH, utilizando diferentes nombres de usuario y contraseñas. Ahora, veamos paso a paso el proceso de instalación de Fail2Ban en Ubuntu 16.04:
Para instalar la herramienta de protección en Debian/Ubuntu, deberá ejecutar estos comandos:
sudo apt-get update
sudo apt-get install fail2ban -y
Después de la instalación, el archivo de configuración predeterminado se encuentra en /etc/fail2ban/jail.conf. Para que el software se adapte a sus entornos, deberá editar este archivo. Además, deberá configurar individualmente los servicios que ejecuta su servidor explorando la lista, ya que cada servicio tendrá su propia sección.
Configuración de Fail2Ban
Para abrir y configurar el archivo, deberá ejecutar los siguientes comandos:
sudo get-apt install nano
sudo nano /etc/fail2ban/jail.conf
El protocolo SSH está protegido y habilitado de forma predeterminada. Sin necesidad de aplicar ningún cambio adicional, cualquier persona que intente acceder a su sitio web mediante fuerza bruta será bloqueada o expulsada tras 6 intentos. Dado que los puertos predeterminados del protocolo están protegidos por Fail2Ban, cualquier servicio configurado en su servidor para utilizar puertos no estándar deberá especificarse con el nuevo número de puerto para el servicio.
Supongamos que cambia su número de puerto de 33 a 3333. Esto deberá definirse en la configuración:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Todos los demás servicios, aunque están configurados, aún no están habilitados. Esto se puede ver por el valor falso en el estado habilitado. Para cambiarlo, solo hay que cambiar el valor a verdadero..
La explicación de la configuración es la siguiente:
• Habilitado: Fail2Ban puede supervisar el servidor.
• Puerto: número de puerto del servicio que se va a supervisar. Si se cambia a un puerto distinto del estándar, debe especificarse en la configuración.
• Filtro: la regla y la lista de cadenas que Fail2Ban utiliza para determinar si un servicio concreto está siendo objeto de un ataque.
• Ruta de registro: por defecto es el archivo auth.log, donde se restauran todos los registros. Si se cambia, también debe especificarse en la configuración.
Con estas pautas básicas, debería poder configurar sus políticas de Fail2Ban en su servidor. Es una excelente manera de protegerse contra los ataques más comunes.
