Protección frente a posibles ataques de fuerza bruta (Fail2Ban)

La prohibición de direcciones IP (Fail2Ban) es una forma automatizada de proteger su servidor frente a ataques de fuerza bruta. Fail2Ban utiliza expresiones regulares para monitorizar los archivos de registro de patrones que correspondan a errores de autenticación para así detectar posibles vulnerabilidades y otras entradas que puedan considerarse sospechosas. Estas entradas del registro son contabilizadas y, cuando su número alcanza algún valor predefinido, Fail2Ban envía una notificación por email o bien prohíbe la IP del atacante durante un periodo de tiempo predefinido. Una vez finalizado el periodo de prohibición, la dirección IP puede usarse de nuevo.

La lógica de Fail2Ban viene determinada por el número de jails. Un jail es un conjunto de reglas aplicadas a un escenario individual. La configuración del jail determina qué debe hacerse cuando se detecte un ataque de acuerdo con un filtro predefinido (un grupo de una o más expresiones regulares para la monitorización de los registros). Si desea más información al respecto, consulte Administración de jails de Fail2Ban.

Nota: para poder utilizar Fail2Ban, los administradores que hayan actualizado su instalación Plesk 11.5 deberán obtener una nueva llave de licencia de Plesk Onyx directamente a través de Plesk o de su distribuidor.

Para configurar Plesk para que automáticamente prohíba las redes y direcciones IP que generan tráfico malintencionado:

  1. Vaya a  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) (en el grupo  Seguridad ). El componente Fail2Ban debe instalarse en su servidor.
  2. Seleccione la casilla Activar detección de intrusiones. Esto activará el servicio Fail2Ban.
  3. Especifique los siguientes parámetros de configuración:
    • Periodo de prohibición de la dirección IP – el intervalo de tiempo en segundo durante el que se prohibirá la dirección IP. Una vez finalizado este periodo, la dirección IP puede usarse de nuevo.
    • Intervalo de tiempo para la detección de ataques subsiguientes – el intervalo de tiempo en segundos durante el que el sistema contabilizará el número de intentos de sesión erróneos así como otros acciones no deseadas desde una determinada dirección IP.
    • Número de errores antes de proceder con la prohibición de la dirección IP – el número de intentos de inicio de sesión fallidos desde la dirección IP.
  4. Haga clic en ACEPTAR.

Ahora, se utilizarán todos los jails activos de Fail2Ban para monitorizar los archivos de registro y para prohibir direcciones IP sospechosas.

IP_Address_Banning

Fail2Ban en Plesk presenta las siguientes limitaciones y peculiaridades:

  • Fail2Ban no debe reiniciarse manualmente como servicio de Plesk, ya que en este caso se perderían todas las estadísticas acumuladas, incluyendo las direcciones IP prohibidas en este momento.
  • Fail2Ban no ofrece protección contra ataques realizados desde una dirección IPv6. Fail2Ban en Plesk se basa únicamente en direcciones IP (no se realizan búsquedas de nombres de host) a no ser que se configure de modo distinto.
  • Fail2Ban no ofrece protección contra ataques distribuidos por fuerza bruta, dado que identifica a los intrusos por su dirección IP.
  • Si Plesk está instalado en un VPS, el límite de registros iptables (numiptent) del VPS puede afectar al funcionamiento de Fail2Ban. Cuando se excede este límite, Fail2Ban deja de funcionar correctamente y en el registro de Fail2Ban aparecerá una línea como la siguiente:
    fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
    En este caso, póngase en contacto con su proveedor de hosting para resolver la incidencia.
  • Si Fail2Ban estaba instalado en su servidor antes de actualizar a Plesk Onyx, el paquete será sustituido por el paquete Fail2Ban de Plesk. Si el paquete que ya está instalado es más reciente que el que incorpora Plesk, es posible que se produzca un error en la actualización. Los jails existentes no se sobrescribirán y podrá gestionarlos desde Plesk junto con los de Plesk Onyx.

Si no debería bloquearse una dirección IP:

  1. Vaya a  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > Direcciones IP de confianza > Añadir IP de confianza.
  2. En el campo Dirección IP, indique una dirección IP, un rango IP o un nombre de host DNS y haga clic en ACEPTAR.

Puede ver y descargar los archivos de registro de Fail2Ban en  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Registros .

Puede ver la lista de direcciones IP prohibidas, cancelar prohibiciones o ir a la lista de direcciones IP de confianza en  Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Direcciones IP prohibidas .

Puede ver la lista de direcciones IP que nunca se prohibirán, añadir y eliminar direcciones IP de esta lista en Herramientas y configuración > Prohibición de direcciones IP (Fail2Ban) > pestaña Direcciones IP de confianza .

A continuación en esta sección:

Gestión de jails de Fail2Ban

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.