Protégete de ataques de fuerza bruta con Fail2ban
Fail2ban es una herramienta de seguridad para servidores que ayuda a protegerlos contra ataques de fuerza bruta o intentos repetidos de acceso no autorizado. Funciona monitoreando archivos de logs (como los de intentos de acceso fallidos) y bloquea las direcciones IP sospechosas mediante reglas de firewall (como iptables en Linux) tras un número determinado de intentos fallidos.
¿Por qué instalar Fail2ban en un servidor?
Protección contra ataques de fuerza bruta: Si alguien intenta adivinar tu contraseña mediante múltiples intentos, Fail2ban detecta estos patrones y bloquea automáticamente la IP atacante después de varios intentos fallidos.
Automatización de la seguridad: Fail2ban reduce la necesidad de vigilancia manual, reaccionando rápidamente a posibles amenazas sin intervención humana.
Configuración flexible: Puedes ajustar los límites de intentos fallidos, el tiempo de bloqueo y qué servicios monitorear (SSH, FTP, Apache, etc.).
Vamos a ello, lo primero será instalar la aplicación:
sudo apt install fail2banA continuación, iremos a crear un archivo de configuración de servicio:
sudo nano /etc/fail2ban/jail.localEn el archivo deberás escribir algo asi:
[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
maxretry = 10
findtime = 60
bantime = 600Esto le dice que, a más de diez intentos en menos de 60 segundos para el puerto 21 (ssh), quiero que se banee la IP que esta realizando ese ataque.
Para que los cambios surtan efecto, reiniciaremos el servicio:
sudo systemctl restart fail2banPara comprobar que todo esta bien usaríamos el siguiente comando:
sudo fail2ban-client status sshdAhora bien, si quisiéramos probar su funcionamiento podemos usar el programa hydra con un diccionario preestablecido:
hydra -l user -P /usr/share/wordlist/rockyou.txt ssh://X.X.X.XAl volver a escribir el comando de arriba, deberemos darnos cuenta que ha baneado la IP de la máquina atacante.
Última actualización