Fail2Ban es un marco de software de prevención de intrusiones que protege los servidores informáticos de los ataques de fuerza bruta . [2] [3] Escrito en el lenguaje de programación Python , puede ejecutarse en sistemas POSIX que tienen una interfaz a un sistema de control de paquetes o firewall instalado localmente, por ejemplo, iptables o TCP Wrapper . [4]
Autor (es) original (es) | Cyril Jaquier |
---|---|
Desarrollador (es) | Cyril Jaquier, Yaroslav Halchenko, Daniel Black, Steven Hiscocks, Arturo 'Buanzo' Busleiman y la comunidad Fail2Ban |
Versión inicial | 2004 |
Lanzamiento estable | 0.11.2 / 23 de noviembre de 2020 [1] |
Repositorio | |
Sistema operativo | Tipo Unix |
Disponible en | Pitón |
Tipo | Prevención de intrusiones |
Licencia | GPLv 2+ |
Sitio web | www |
Funcionalidad
Fail2Ban funciona supervisando los archivos de registro (por ejemplo , /var/log/auth.log , /var/log/apache/access.log , etc.) para las entradas seleccionadas y ejecutar scripts basados en ellas. [5] Por lo general, esto se usa para bloquear direcciones IP seleccionadas que pueden pertenecer a hosts que intentan violar la seguridad del sistema. Puede prohibir cualquier dirección IP de host que realice demasiados intentos de inicio de sesión o realice cualquier otra acción no deseada dentro de un período de tiempo definido por el administrador. Incluye soporte para IPv4 e IPv6. [6] [7] Opcionalmente, las prohibiciones más largas se pueden configurar de manera personalizada para los abusadores "reincidentes" que siguen regresando. [3] Fail2Ban se configura típicamente para desbloquear un host bloqueado dentro de un cierto período, para no "bloquear" ninguna conexión genuina que pueda haber sido temporalmente mal configurada. Sin embargo, un tiempo de desbanqueo de varios minutos suele ser suficiente para evitar que una conexión de red se inunde con conexiones maliciosas, así como para reducir la probabilidad de un ataque de diccionario exitoso .
Fail2Ban puede realizar varias acciones cuando se detecta una dirección IP abusivo: [8] actualización Netfilter / iptables o PF firewall reglas, TCP Wrapper 's tabla hosts.deny , para rechazar la dirección IP de un abusador; Notificaciónes de Correo Electrónico; o cualquier acción definida por el usuario que pueda llevar a cabo un script de Python.
La configuración estándar se envía con filtros para Apache , Lighttpd , sshd , vsftpd , qmail , Postfix y Courier Mail Server . [9] [10] Los filtros se definen mediante expresiones regulares de Python , que un administrador familiarizado con las expresiones regulares puede personalizar convenientemente. [3] Una combinación de un filtro y una acción se conoce como "cárcel" y es lo que hace que un host malicioso sea bloqueado para que no acceda a servicios de red específicos. [3] Además de los ejemplos que se distribuyen con el software, se puede crear una "cárcel" para cualquier proceso de red que cree un archivo de registro de acceso. [11]
Fail2Ban es similar a DenyHosts [...] pero a diferencia de DenyHosts que se enfoca en SSH, Fail2Ban se puede configurar para monitorear cualquier servicio que escriba intentos de inicio de sesión en un archivo de registro y en lugar de /etc/hosts.deny solo para bloquear direcciones IP / hosts, Fail2Ban puede usar Netfilter / iptables y TCP Wrappers /etc/hosts.deny .
- Falko Timme [12]
Defectos
- Fail2Ban no protege contra un ataque distribuido de fuerza bruta.
- No hay interacción con API / AGI específicas de la aplicación .
Ver también
- IPBan , una herramienta de seguridad de prevención de intrusiones basada en registros para Windows
- DenyHosts , una herramienta de seguridad de prevención de intrusiones basada en registros
- Stockade , un enfoque de limitación de velocidad para la mitigación del spam.
- OSSEC , un sistema de detección de intrusiones de código abierto basado en host.
Referencias
- ^ "Lanzamientos · fail2ban" . 26 de mayo de 2021 - a través de GitHub .
- ^ serverwatch.com (15 de agosto de 2006). "Consejo del oficio: Fail2Ban" .
- ^ a b c d Bledsoe, Greg (14 de enero de 2016). "Fortalecimiento del servidor | Diario de Linux" . Revista de Linux . Consultado el 22 de septiembre de 2018 .
- ^ Jordan, Jeff (16 de junio de 2015). "Cómo proteger su computadora GNU / Linux de ataques remotos con Fail2ban" . Revista de software libre . Consultado el 22 de septiembre de 2018 .
- ^ Van Impe, Koen (9 de diciembre de 2015). "Defensa contra ataques DDoS del servidor web Apache" . Inteligencia de seguridad de IBM . Consultado el 22 de septiembre de 2018 .
- ^ G. Brester, Sergey (9 de agosto de 2017). "0.10.0 (09/08/2017) - esperada versión 0.10th" . GitHub . Consultado el 22 de septiembre de 2018 .
- ^ Aleksandersen, Daniel (31 de mayo de 2016). "El soporte de IPv6 finalmente llega a Fail2Ban 0.10" . Ctrl blog . Consultado el 22 de septiembre de 2018 .
- ^ ducea.com (3 de julio de 2006). "Uso de Fail2Ban para bloquear ataques de fuerza bruta" .
- ^ fail2ban.org. "Características - Fail2Ban" .
- ^ Wallen, Jack (23 de diciembre de 2016). "Cómo proteger el shell seguro en CentOS 7 con Fail2ban" . TechRepublic . Consultado el 22 de septiembre de 2018 .
- ^ Casey, Brad (17 de febrero de 2016). "Tres herramientas de seguridad de servidor que quizás no conozcas" . TechTarget . Consultado el 22 de septiembre de 2018 .
- ^ Timme, Falko (8 de octubre de 2007). "Prevención de ataques de fuerza bruta con Fail2Ban en OpenSUSE 10.3" . Consultado el 14 de noviembre de 2007 .
enlaces externos
- Página web oficial
- Resultados del concurso de popularidad de Debian para fail2ban