Resultados 1 al 3 de 3

Tema: Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios

  1. #1 Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.010
    Descargas
    179
    Uploads
    246
    Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.

    APF.
    Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.

    Configuración básica:

    Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:

    Código:
    # Untrusted Network interface(s); all traffic on defined interface will be
    # subject to all firewall rules. This should be your internet exposed
    # interfaces. Only one interface is accepted for each value.
    # NOTE: The interfacing structure is being worked towards support of MASQ/NAT
    IFACE_IN="eth0"
    IFACE_OUT="eth0"
    Después es posible configurar los interfaces de red para que los ignore.

    Código:
    # Trusted Network interface(s); all traffic on defined interface(s) will by-pass
    # ALL firewall rules, format is white space or comma seperated list.
    IFACE_TRUSTED="eth1"
    Luego puertos TCP de entrada permitidos.

    Código:
    # Common ingress (inbound) TCP ports
    IG_TCP_CPORTS="80, 110,443"
    Puertos UDP de entrada permitidos.

    Código:
    # Common ingress (inbound) UDP ports
    IG_UDP_CPORTS=" 110"
    Luego puertos TCP de salida permitidos.

    Código:
    # Common egress (outbound) TCP ports
    EG_TCP_CPORTS="80, 110,443"
    Puertos UDP de salida permitidos.

    Código:
    # Common egress (outbound) UDP ports
    EG_UDP_CPORTS=" 110"
    Entradas ICMP permitidas:

    Código:
    # Common ICMP (inbound) types
    # 'internals/icmp.types' for type definition; 'all' is wildcard for any
    IG_ICMP_TYPES="3,5,11"
    Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…

    Más información y descarga de APF:
    http://www.rfxn.com/projects/advanced-policy-firewall/


    BFD.
    Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.

    Configuración básica:

    Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.

    Código:
    TRIG=10
    Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.

    Código:
    EMAIL_ALERTS=1
    EMAIL_ADDRESS=administrador@servidor.es
    Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.

    Más información y descarga de BFD:
    http://www.rfxn.com/projects/brute-force-detection/


    DDoS Deflate.
    Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.

    Configuración básica:

    Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.

    Código:
    FREQ=1
    Después número de conexiones máximas permitidas antes de proceder a bloquear IP:

    Código:
    NO_OF_CONNECTIONS=160
    Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.

    Código:
    APF_BAN=1
    Tiempo en minutos, en el que la IP atacante será bloqueada:

    Código:
    BAN_PERIOD=500
    Dirección de email a la que notificar cuando actúa DDoS Deflate.

    Código:
    EMAIL_TO=” administrador@servidor.es”
    Más información y descarga de DDoS Deflate:
    http://deflate.medialayer.com/

    Fuente: http://vtroger.blogspot.com/2010/01/...a-ataques.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.450
    Descargas
    11
    Uploads
    0
    Excelente post LUK
    Lo estoy agregando a favoritos.

    SAlúdos
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  3. #3  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    coincido con cypress, excelente post.
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 29-12-2011, 13:27
  2. Respuestas: 0
    Último mensaje: 24-08-2010, 14:08
  3. Respuestas: 3
    Último mensaje: 23-11-2009, 20:09
  4. Respuestas: 0
    Último mensaje: 14-03-2009, 20:56
  5. Respuestas: 0
    Último mensaje: 14-03-2009, 20:55

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •