La prohibición de direcciones IP (Fail2Ban) es una forma automatizada de proteger su servidor frente a ataques de fuerza bruta. Fail2Ban utiliza expresiones regulares para monitorizar los archivos de registro de patrones que correspondan a errores de autenticación para así detectar posibles vulnerabilidades y otras entradas que puedan considerarse sospechosas. Estas entradas del registro son contabilizadas y, cuando su número alcanza algún valor predefinido, Fail2Ban envía una notificación por email o bien prohíbe la IP del atacante durante un periodo de tiempo predefinido. Una vez finalizado el periodo de prohibición, la dirección IP puede usarse de nuevo.

La lógica de Fail2Ban viene determinada por el número de jails. Un jail es un conjunto de reglas aplicadas a un escenario individual. La configuración del jail determina qué debe hacerse cuando se detecte un ataque de acuerdo con un filtro predefinido (un grupo de una o más expresiones regulares para la monitorización de los registros). Si desea más información al respecto, consulte Administración de jails de Fail2Ban.

En Plesk Obsidian, Fail2Ban viene activado por defecto: todos los jails disponibles se encuentran activados y se usa la configuración predeterminada de Fail2Ban. En la mayoría de los casos, le recomendamos conservarlos, si bien es posible que desee ajustarlos si es necesario.

Para modificar la configuración de Fail2Ban:

  1. Vaya a  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) (debajo de «Seguridad»).
  2. Vaya a la pestaña «Configuración», donde podrá cambiar lo siguiente:
    • Periodo de prohibición de la dirección IP – el intervalo de tiempo en segundo durante el que se prohibirá la dirección IP. Una vez finalizado este periodo, la dirección IP puede usarse de nuevo.
    • Intervalo de tiempo para la detección de ataques subsiguientes – el intervalo de tiempo en segundos durante el que el sistema contabilizará el número de intentos de sesión erróneos así como otros acciones no deseadas desde una determinada dirección IP.
    • Número de errores antes de proceder con la prohibición de la dirección IP – el número de intentos de inicio de sesión fallidos desde la dirección IP.
  3. Haga clic en ACEPTAR.

image-75007.png

Fail2Ban en Plesk presenta las siguientes limitaciones y peculiaridades:

  • Fail2Ban ofrece protección frente a atacantes que dispongan tanto de direcciones IPv4 como de direcciones IPv6.
  • A menos que se vuelva a configurar, Fail2Ban solo se basa en IPs (sin búsquedas de nombres de host).
  • Fail2Ban no ofrece protección contra ataques distribuidos por fuerza bruta, dado que identifica a los intrusos por su dirección IP.
  • Si Plesk está instalado en un VPS, el límite de registros iptables (numiptent) del VPS puede afectar al funcionamiento de Fail2Ban. Cuando se excede este límite, Fail2Ban deja de funcionar correctamente y en el registro de Fail2Ban aparecerá una línea como la siguiente: fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100 En este caso, póngase en contacto con su proveedor de hosting para resolver la incidencia.

Si no debería bloquearse una dirección IP:

  1. Vaya a  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > Direcciones IP de confianza > Añadir IP de confianza.
  2. En el campo Dirección IP, indique una dirección IP, un rango IP o un nombre de host DNS y haga clic en ACEPTAR.

Puede ver y descargar los archivos de registro de Fail2Ban en  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Registros .

Puede ver la lista de direcciones IP prohibidas, cancelar prohibiciones o ir a la lista de direcciones IP de confianza en Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Direcciones IP prohibidas .

Puede ver la lista de direcciones IP que nunca se prohibirán, añadir y eliminar direcciones IP de esta lista en Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Direcciones IP de confianza .