Como Bloquear IP usando IPTables

Uno de los problemas principales que nos encontramos al administrar un servidor web son los ataques. A menudo detectamos ataques de fuerza bruta intentando acceder a nuestros servidores, ya sea vía SSH o FTP. Por eso insistimos a menudo en no usar contraseñas poco seguras o fáciles de recordar.

Los ataques de fuerza bruta se basan en usar diccionarios de combinaciones de contraseñas típicas o sencillas. Básicamente van intentando contraseñas típicas de una lista, hasta conseguir acceder en nuestro sistema. Hoy veremos cómo detectar un intento de acceso no deseado y bloquear IP con IPTABLES.

¿Cómo detectamos si nuestro servidor está sufriendo un ataque de fuerza bruta?

Todos los servidores guardan un registro o log de inicio de sesión, ya sea distribución Windows o Linux. En el caso de linux, estos logs se almacenan en /var/log

En nuestro caso concreto detectamos que el archivo /var/log/btmp ocupa 1.3 GB de tamaño. Este log es el que almacena información de inicio de sesión de error.

¿Cómo visualizar el contenido de los logs de errores?

Para ver los últimos intentos de inicio de sesión erróneos en Linux ejecutamos el siguiente comando:

lastb

Este comando nos mostrará por pantalla los últimos intentos de inicio de sesión incluyendo datos como; nombre de usuario, tipo de conexión, IP de origen de conexión y hora y fecha del intento de conexión:
Ataque fuerza bruta servidor Linux

¿Cómo proteger mi servidor Linux de ataques de fuerza bruta?

Tenemos que tener en cuenta una serie de medidas que pueden ser de gran ayuda para evitar este tipo de ataques. La primera, obvia, usar contraseñas lo más complejas posibles, eliminar esos usuarios con acceso que ya no usemos, así como desactivar aquellos servicios que no usemos. Por ejemplo, si no necesitamos el acceso vía FTP mejor desactivarlo.
Otra opción muy recomendable es cambiar los puertos por defecto. La conexión remota SSH usa el puerto 22 y el FTP el 21. Es recomendable usar uno personalizado.
En nuestro caso, además, hemos banneado las IP’s que intentan acceder por fuerza bruta.

 

[ccaa_caja texto=»¿Quieres estar al día de nuestras noticias?»]

 

¿Cómo bloquear Ip con IPTables?

IPTables es el firewall integrado en el Kernel de Linux y es usado tanto para IP v4 como IP v6. Antes de empezar a explicar cómo bloquear IP con IPTables, vamos a revisar que reglas están configuradas en nuestro IPTables.
Para ello ejecutamos el comando:
iptables -L -n
El sistema nos retornará el listado de reglas actualmente en ejecución.
Para bloquear una IP con IPTables que intenta acceder a nuestro servidor por fuerza bruta usaremos el siguiente comando:
iptables -I INPUT -s xx.xx.xx.xx -j DROP
donde xx.xx.xx.xx es la IP de origen, que hemos obtenido del log/var/log/btmp anterior.
Para desbloquear una IP usaremos el siguiente comando:
iptables -I INPUT -s xx.xx.xx.xx -j ACCEPT

En este interesante vídeo podéis ver en detalle como funciona IPTables y cómo configurarlo:

 

 

Aunque es un trabajo muy manual, si detectamos en los logs que hay una IP, o un grupo de IP’s que están intentando acceder a nuestro servidor de forma repetitiva, es muy importante bloquearlas.

Además, es muy importante revisar de forma periódica los logs de nuestros servidor, para detectar este y otro tipo de problemas que pueden suceder, como problemas de espacio, error de tareas programadas etc…

En XpertiX somos especialistas en la administración de servidores, si quieres tener tus servidores funcionando correctamente las 24 horas no dudes en contactar con XpertiX.

 

 

Artículos relacionados:

SOLICITAR
PRESUPUESTO

Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Rellena este campo
Menú