Durante mucho tiempo optamos por crear reglas manuales para proteger nuestros servidores expuestos internet de los ataques de DDoS (Denial Of Service) o ataques por fuerza bruta al servicio de SSH.


Sin embargo, en un mundo con amplias posibilidades de conectividad es desgastante tener que estar agregando reglas para permitir conectarse desde nuevos segmentos de red. Es así como tomamos la decisión de usar fail2ban junto con otras medidas para protegernos de los mencionados ataques.

Este tutorial explica la instalación y configuración de fail2ban sobre Linux Centos 5.

Inicialmente instalamos el paquete con el comando:

[sourcecode language=»text»]
#yum install fail2ban
[/sourcecode]

Una vez instalado procedemos a configurar el servicio:

[sourcecode language=»text»]
#vim /etc/fail2ban/jail.conf
[/sourcecode]

Dentro del archivo buscamos la configuración de ssh-iptables

[sourcecode language=»text»]
[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=support@fware.com, sender=support@fware.pro]
logpath = /var/log/secure
maxretry = 3
[/sourcecode]

En este cambiamos enabled de false a true y el logpath lo apuntamos a /var/log/secure.
Una vez configurado pasamos a iniciar el servicio:

[sourcecode language=»text»]
#service fail2ban start
[/sourcecode]

Usando el comando

 

[sourcecode language=»text»]
#iptables –L
[/sourcecode]

Podemos ver que se agregarán reglas en la medida que fail2ban detecte que hay intentos fallidos de login.

 

[sourcecode language=»text»]

Chain fail2ban-SSH (2 references)
target prot opt source destination
DROP all — anywhere
RETURN all — anywhere anywhere
[/sourcecode]

Y ahora que ya sabes como proteger tu servidor de este tipo de ataques pon en practica lo aprendido y déjanos tus comentarios.