Protección frente a posibles ataques de fuerza bruta (Fail2Ban)

La prohibición de direcciones IP (Fail2Ban) es una forma automatizada de proteger su servidor frente a ataques de fuerza bruta. Fail2Ban utiliza expresiones regulares para monitorizar los archivos de registro de patrones que correspondan a errores de autenticación y otros errores considerados como sospechosos.

Si una determinada dirección IP realiza demasiados intentos de inicio de sesión dentro del intervalo de tiempo definido por el administrador, esta dirección IP se prohíbe durante un determinado periodo de tiempo. Asimismo, Fail2Ban también puede actualizar las reglas de firewall y enviar notificaciones por email. Una vez finalizado el periodo de prohibición, la dirección IP puede usarse de nuevo.

Nota: Para poder utilizar Fail2Ban, los administradores que hayan actualizado su instalación desde Plesk 11.5 deberán obtener una nueva llave de licencia para Plesk 12 de Odin o de su distribuidor.

Para configurar Plesk para que automáticamente prohíba las redes y direcciones IP que generan tráfico malintencionado:

1. Vaya a Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) (en el grupo Seguridad ). El componente Fail2Ban debe instalarse en su servidor.
2. Seleccione la casilla Activar detección de intrusiones.
3. Especifique los siguientes parámetros de configuración:
   • Periodo de prohibición de direcciones IP – el intervalo de tiempo en segundo durante el que se prohibirá la dirección IP. Una vez finalizado este periodo, la dirección IP puede usarse de nuevo.
   • Intervalo de tiempo para la detección de ataques subsiguientes – el intervalo de tiempo en segundos durante el que el sistema contabilizará el número de intentos de sesión erróneos así como otros acciones no deseadas desde una determinada dirección IP.
   • Número de errores antes de proceder con la prohibición de la dirección IP – el número de intentos de inicio de sesión fallidos desde la dirección IP.
4. Haga clic en ACEPTAR.

Ahora, se utilizarán todos los jails activos de Fail2Ban para monitorizar los archivos de registro y para prohibir direcciones IP sospechosas.

Fail2Ban en Plesk presenta las siguientes limitaciones y peculiaridades:

• Fail2Ban no debe reiniciarse manualmente como servicio de Plesk, ya que en este caso se perderían todas las estadísticas acumuladas, incluyendo las direcciones IP prohibidas en este momento.
• Fail2Ban no ofrece protección contra ataques realizados desde una dirección IPv6. Fail2Ban en Plesk se basa únicamente en direcciones IP (no se realizan búsquedas de nombres de host) a no ser que se configure de modo distinto.
• Fail2Ban no ofrece protección contra ataques distribuidos por fuerza bruta, dado que identifica a los intrusos por su dirección IP.
• Si Plesk está instalado en un VPS, el límite de registros iptables (numiptent) del VPS puede afectar al funcionamiento de Fail2Ban. Cuando se excede el límite, Fail2Ban dejará de funcionar correctamente y en el registro de Fail2Ban aparecerá una línea como esta:
  fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
  Si esto ocurriera, contacte con su proveedor de hosting VPS para solucionar la incidencia.
• Si Fail2Ban estaba instalado en su servidor antes de actualizar a Plesk 12, el paquete será sustituido por el paquete Fail2Ban de Plesk. Si el paquete que ya está instalado es más reciente que el que incorpora Plesk, es posible que se produzca un error en la actualización. Los jails existentes no se sobreescribirán y podrá gestionarlos desde Plesk junto con los de Plesk 12.

Si no debería bloquearse una dirección IP:

1. Vaya a Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > Direcciones IP de confianza > Añadir IP de confianza.
2. En el campo Dirección IP, indique una dirección IP, un rango IP o un nombre de host DNS y haga clic en ACEPTAR.

Puede ver y descargar los archivos de registro de Fail2Ban en Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Registros .

Puede ver la lista de direcciones IP prohibidas, cancelar prohibiciones o ir a la lista de direcciones IP de confianza en  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Direcciones IP prohibidas .

Puede ver la lista de direcciones IP que nunca se prohibirán, añadir y eliminar direcciones IP de esta lista en Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Direcciones IP de confianza .