Durante mucho tiempo optamos por crear reglas manuales para proteger nuestros servidores expuestos internet de los ataques de DDoS (Denial Of Service) o ataques por fuerza bruta al servicio de SSH.


Sin embargo, en un mundo con amplias posibilidades de conectividad es desgastante tener que estar agregando reglas para permitir conectarse desde nuevos segmentos de red. Es así como tomamos la decisión de usar fail2ban junto con otras medidas para protegernos de los mencionados ataques.

Este tutorial explica la instalación y configuración de fail2ban sobre Linux Centos 5.

Inicialmente instalamos el paquete con el comando:

#yum install fail2ban

Una vez instalado procedemos a configurar el servicio:

#vim /etc/fail2ban/jail.conf

Dentro del archivo buscamos la configuración de ssh-iptables

[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=support@fware.com, sender=support@fware.pro]
logpath = /var/log/secure
maxretry = 3

En este cambiamos enabled de false a true y el logpath lo apuntamos a /var/log/secure.
Una vez configurado pasamos a iniciar el servicio:

#service fail2ban start

Usando el comando

 

#iptables –L

Podemos ver que se agregarán reglas en la medida que fail2ban detecte que hay intentos fallidos de login.

 


Chain fail2ban-SSH (2 references)
target     prot 	opt 	source 		destination
DROP		all 	-- 		<host>		anywhere	
RETURN     	all  	--  	anywhere   	anywhere

Y ahora que ya sabes como proteger tu servidor de este tipo de ataques pon en practica lo aprendido y déjanos tus comentarios.