Fail2Ban: prohíbe los hosts que causan múltiples errores de autenticación
Fail2Ban es una herramienta de código abierto que monitorea archivos de registro como /var/log/auth.log
y bloquea direcciones IP que han repetido intentos fallidos de inicio de sesión. Esto se hace actualizando las reglas de firewall del sistema para rechazar nuevas conexiones de estas direcciones IP durante un período de tiempo configurable.
Características de Fail2Ban
“Fail2Ban es una herramienta versátil y eficaz. Puede bloquear ataques comunes utilizando filtros impulsados por la comunidad con una configuración mínima. Además, puede servir como un sistema IDS/IPS complejo para satisfacer necesidades administrativas específicas, como detectar y bloquear aplicaciones o vectores de ataque específicos del sistema”, dijo a Help Net Security Sergey Brester, desarrollador de Fail2Ban.
Las características principales son:
- Monitorear el archivo de registro y el diario de systemd (y con backends personalizados, escritos en Python, podría detectar fallas de otras fuentes)
- Las expresiones regulares totalmente configurables le permiten capturar información del registro o diario y enviarla a la acción, lo que hace posible prohibir no solo IP, sino también usuarios, sesiones o una combinación de ellos.
- Prohibición incremental
- soporte IPv6
- La configuración dinámica permite la creación sencilla de archivos de configuración relacionados con la distribución para mantenedores y usuarios. Por ejemplo, usar parámetros como modo para realizar ajustes (por ejemplo, detectar solo fallas de autenticación o prohibir de manera más agresiva cualquier intento)
Planes futuros y descarga.
Brester nos dijo que las futuras prioridades de desarrollo incluyen:
- Soporte completo para subredes (prohibir automáticamente una subred con ráfaga y umbral configurables si se producen múltiples intentos desde IP de la misma subred)
- Factorizar las fallas según la geografía y el whois (por ejemplo, las IP de algunos países pueden prohibirse más rápido y durante más tiempo, combinadas con subredes más grandes, etc.)
- Fail2Ban Network (sincronización de eventos como intentos y prohibiciones entre hosts para proteger redes enteras)
- Aceleración de la prohibición con la introducción de mecanismos de prohibición masiva.
- Mejor soporte para contenedores (Docker, Kubernetes, etc.)
Fail2Ban está disponible de forma gratuita en GitHub.
Debe leer: