Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.
APF.
Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.
Configuración básica:
Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:
Código:
# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"
Después es posible configurar los interfaces de red para que los ignore.
Código:
# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth1"
Luego puertos TCP de entrada permitidos.
Código:
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"
Puertos UDP de entrada permitidos.
Código:
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"
Luego puertos TCP de salida permitidos.
Código:
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"
Puertos UDP de salida permitidos.
Código:
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"
Entradas ICMP permitidas:
Código:
# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"
Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…
Más información y descarga de APF:
http://www.rfxn.com/projects/advanced-policy-firewall/
BFD.
Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.
Configuración básica:
Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.
Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.
Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.
Más información y descarga de BFD:
http://www.rfxn.com/projects/brute-force-detection/
DDoS Deflate.
Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.
Configuración básica:
Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.
Después número de conexiones máximas permitidas antes de proceder a bloquear IP:
Código:
NO_OF_CONNECTIONS=160
Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.
Tiempo en minutos, en el que la IP atacante será bloqueada:
Dirección de email a la que notificar cuando actúa DDoS Deflate.
Más información y descarga de DDoS Deflate:
http://deflate.medialayer.com/
Fuente: http://vtroger.blogspot.com/2010/01/proteger-servidor-linux-contra-ataques.html
Marcadores