[CentOS-es] Proteger http con fail2ban
Elio Bastias, Project Managers
elio.bastias en gmail.com
Jue Oct 3 12:06:54 UTC 2013
David,
Quizás tengas razón David, pero depende de quien sea al admin, a veces uno
puede actuar con la reglas del Kunfu, para luego obtener de donde viene el
ataque y actuar en consecuencia.-
Pero creo que nuestro amigo Rodrigo, tiene ese problema y lo están
scaneando a pleno. Ahora creo también que esto tipo de ataque se deben para
en el borde ó sea en el router antes de que entre al servidor para realizar
las peticiones.-
Como bien decís David #OpenBSD es una de las distro mas limpias que hay.-
Lo que armaría es un servidor con 2 eth y usarlo como router hacia la LAN
y desde la WAN, para que pueda analizar el tráfico con algún tipo de IDS,
como dije anteriormente.
Para luego si poder hacer un trabajo fino y ver desde donde viene el ataque
y quien puede ser y por que lo esta haciendo. Para luego tomar las acciones
que sean apropiadas.-
Saludos
EB
El 3 de octubre de 2013 08:50, David González Romero
<dgrvedado en gmail.com>escribió:
> Yo soy partidario de no devolver el ataque. Eso implica empezar una guerra.
> De cualquier forma mi objetivo es prestar mis servicios y no formar una
> guerra santa, con algún X por ahí.
>
> De cualquier forma si hay temor a ataques de algún tipo, empieza a mirar
> para este lado:
> www.openbsd.org
>
> Suerte,
> David
>
>
> El 2 de octubre de 2013 22:39, Elio Bastias, Project Managers <
> elio.bastias en gmail.com> escribió:
>
> > Gente,
> > Buenas Noches,
> > Estuve leyendo los post,
> > Y veo que están viendo el tema de DDos.-
> > fail2ban úsalo en otras áreas, ahora yo lo que haría es empezar en el
> > router con IDS, tipo Snort, analizando el tráfico y parándolo según las
> > reglas que tienen el IDS bannear a los atacante ó devolver el ataque.-
> > Saludos,
> >
> >
> >
> > El 2 de octubre de 2013 20:17, David González Romero
> > <dgrvedado en gmail.com>escribió:
> >
> > > DDOS es muy complejo de poder parar CSF es una variante, otra
> > mod_security;
> > > la tarcera no seas SysAdmin así te evitas dolores de cabeza.... Pero ya
> > que
> > > estás "enfermo" como nosotros, escucha consejo para que llegues a
> viejo.
> > >
> > > Mod_security, Fail2Ban usalo más bien en otra area. IPtables bien duro
> > para
> > > que pueda asegurarte un poquito y así poco a poco podrás ir teniendo tu
> > > propio librito sobre Seguridad de la que no tenemos que saberlo todo
> 100%
> > >
> > > Saludos,
> > > David
> > >
> > >
> > > El 2 de octubre de 2013 14:14, Carlos Tirado Elgueta <
> > > carlos.tirado en gmail.com> escribió:
> > >
> > > > yo uso para eso, incluyendo DDoS y demases, CSF (
> > > > http://configserver.com/cp/csf.html)
> > > >
> > > >
> > > > Slds
> > > >
> > > >
> > > > El 2 de octubre de 2013 15:06, Rodrigo Pichiñual Norin <
> > > > rodrigo.pichinual en gmail.com> escribió:
> > > >
> > > > > Un ataque propiamente tal no...si no que una sobre carga de la
> > > > > web....usuarios virtuales que acceden simultaneamente dentro de un
> > > lapsus
> > > > > corto de tiempo, de manera que hagan colapsar o relentarizar la
> web.
> > > > >
> > > > > a eso me refiero...=)
> > > > >
> > > > > gracias
> > > > >
> > > > >
> > > > > El 2 de octubre de 2013 13:58, angel jauregui <
> > darkdiabliyo en gmail.com
> > > > > >escribió:
> > > > >
> > > > > > Con SSH la manera que reconoces un intento de ataque es cuando
> > > existen
> > > > > > FALLOS en el login, y esto repetidas veces.
> > > > > >
> > > > > > Dime cual te imaginas seria el ataque en Apache ?.... si lo
> > analizas,
> > > > en
> > > > > > realidad cualquier consulta puede ser un ataque o bien no serlo.
> > > Muchos
> > > > > > podrian decir "la comilla simple", pero que tal si en la web
> tienen
> > > un
> > > > > > producto en ingles que lleva comilla simple ?, entonces caerias
> en
> > > que
> > > > > esa
> > > > > > comilla en ese caso no representa un ataque.
> > > > > >
> > > > > > Innvestiga mod_security, es lo mejor..
> > > > > >
> > > > > > Fail2ban es recomendable para servicios que requieren una
> > > > autentificacion
> > > > > > al servicio: ssh, ftp, tftp, smtp, pop, etc...
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > El 2 de octubre de 2013 12:48, Rodrigo Pichiñual Norin <
> > > > > > rodrigo.pichinual en gmail.com> escribió:
> > > > > >
> > > > > > > mmmmm si pero http con fail2ban....??? sabes??
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > El 2 de octubre de 2013 13:43, David González Romero
> > > > > > > <dgrvedado en gmail.com>escribió:
> > > > > > >
> > > > > > > > Rodrigo!!
> > > > > > > >
> > > > > > > > Esta muy bien, pero la mejor protección que puedes hacer para
> > tu
> > > > SSH
> > > > > es
> > > > > > > > cambiar el puerto de escucha. en el /etc/ssh/sshd_config
> > > > > > > >
> > > > > > > > Port 6541
> > > > > > > >
> > > > > > > > Asi evitas que los boots se pongan a scanear al respecto.
> > Puedes
> > > > > > entonces
> > > > > > > > con fail2ban proteger ese puerto. Y luego IPtables, si no
> > puedes
> > > > > > cambiar
> > > > > > > tu
> > > > > > > > puerto SSH sería entonces prudente aceptar conecciones SSH
> > desde
> > > IP
> > > > > > > > conocidas en tu server.
> > > > > > > >
> > > > > > > > De cualquier forma una de las maneras más fuertes de proteger
> > > > Apache
> > > > > es
> > > > > > > > mod_security.
> > > > > > > >
> > > > > > > > Saludos,
> > > > > > > > David
> > > > > > > >
> > > > > > > >
> > > > > > > > El 2 de octubre de 2013 13:14, Rodrigo Pichiñual Norin <
> > > > > > > > rodrigo.pichinual en gmail.com> escribió:
> > > > > > > >
> > > > > > > > > Hola a todos.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Tengo instalado fail2ban en centos 6.3
> > > > > > > > >
> > > > > > > > > Logre entender como proteger SSH en caso de ataques de
> fuerza
> > > > > bruta.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > banntime=600
> > > > > > > > >
> > > > > > > > > [ssh-iptables]
> > > > > > > > > enabled = true
> > > > > > > > > filter = sshd
> > > > > > > > > action = iptables[name=SSH, port=ssh, protocol=tcp]
> > > > > > > > > mail-whois[name=SSH, dest=mimail en dominio.cl,
> > > > > > > > > sender=fail2ban@<fail2ban en latitud33.cl>
> > > > > > > > > dominio.cl]
> > > > > > > > > logpath = /var/log/secure
> > > > > > > > > maxretry = 5
> > > > > > > > >
> > > > > > > > > Esto bloquea a una ip el accesso mediante SSH después de 5
> > > > intentos
> > > > > > > > > fallidos (bloque la ip durante 600 seg).
> > > > > > > > >
> > > > > > > > > lo probé y funciona.
> > > > > > > > >
> > > > > > > > > pero ahora quiero proteger mi servidor web (apache httpd).
> > > > > > > > >
> > > > > > > > > pero no se como hacerlo.
> > > > > > > > >
> > > > > > > > > en ssh el maxretry es 5(intentos antes de bloquear) en un
> > > > servidor
> > > > > > web
> > > > > > > > esto
> > > > > > > > > debería ser mucho mas mayor (nro de transacciones de un web
> > > > server
> > > > > > > > siempre
> > > > > > > > > es mas alto)
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Orientación..gracias
> > > > > > > > > _______________________________________________
> > > > > > > > > CentOS-es mailing list
> > > > > > > > > CentOS-es en centos.org
> > > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > > > >
> > > > > > > > _______________________________________________
> > > > > > > > CentOS-es mailing list
> > > > > > > > CentOS-es en centos.org
> > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > > >
> > > > > > > _______________________________________________
> > > > > > > CentOS-es mailing list
> > > > > > > CentOS-es en centos.org
> > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > >
> > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > E-Mail: angel.cantu en sie-group.net
> > > > > > Web: http://www.sie-group.net/
> > > > > > Cd. Reynosa Tamaulipas.
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Carlos Francisco Tirado Elgueta
> > > > Google Apps for Business Partner Chile
> > > > http://www.chilemedios.cl
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > Elio Bastias
> > Project Manager
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
Elio Bastias
Más información sobre la lista de distribución CentOS-es