PDA

Ver la versión completa : Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios



LUK
03-02-2010, 16:55
Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.

APF.
Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.

Configuración básica:

Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:


# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"

Después es posible configurar los interfaces de red para que los ignore.


# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth1"

Luego puertos TCP de entrada permitidos.


# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"

Puertos UDP de entrada permitidos.


# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"

Luego puertos TCP de salida permitidos.


# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"

Puertos UDP de salida permitidos.


# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"

Entradas ICMP permitidas:


# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"

Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…

Más información y descarga de APF:
http://www.rfxn.com/projects/advanced-policy-firewall/


BFD.
Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.


TRIG=10

Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.


EMAIL_ALERTS=1
[email protected]

Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.

Más información y descarga de BFD:
http://www.rfxn.com/projects/brute-force-detection/


DDoS Deflate.
Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.


FREQ=1

Después número de conexiones máximas permitidas antes de proceder a bloquear IP:


NO_OF_CONNECTIONS=160

Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.


APF_BAN=1

Tiempo en minutos, en el que la IP atacante será bloqueada:


BAN_PERIOD=500

Dirección de email a la que notificar cuando actúa DDoS Deflate.


EMAIL_TO=” [email protected]

Más información y descarga de DDoS Deflate:
http://deflate.medialayer.com/

Fuente: http://vtroger.blogspot.com/2010/01/proteger-servidor-linux-contra-ataques.html

Cypress
04-02-2010, 01:19
Excelente post LUK :)
Lo estoy agregando a favoritos.

SAlúdos

gondar_f
06-02-2010, 23:04
coincido con cypress, excelente post.