Instalar y configurar BFD (Brute Force Detector)
Tal y como os comentaba en el anterior artículo Instalar y configurar firewall APF (DirectAdmin, Cpanel, Plesk), una de las configuraciones más seguras para sevidores dedicados es el dúo APF+BFD. Por ello en este artículo vamos a instalar y configurar el detector de fuerza bruta BFD.
Lo primero, y como siempre, es colocarnos en nuestro directorio favorito de descarga de programas. Una vez alli debemos descargarnos BFD desde la página oficial y realizar la instalación que es muy sencilla ya que dispone de un script de instalación. Como siempre, si queréis podéis utilizar Updatron tanto para instalar como para configurar automaticamente BFD, pero nunca está de más, conocer como se instalan y configuran manualmente estos programas. Realicemos la instalación:
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
tar -xvzf bfd-current.tar.gz
cd bfd*
./install.sh
Con esta sencilla acción ya tenemos instalado BFD en el directorio /usr/local/bfd, que es donde se encuentra el fichero de configuración /usr/local/bfd/conf.bfd. Editando este archivo podremos cambiar la configuración de alertas, hosts a ignorar, etc. Pasemos a la acción:
nano /usr/local/bfd/conf.bfd
Lo primero que nos encontramos es la configuración del TRIGGER, que es el número de intentos de acceso fallidos que permite BFD antes de tomar medidas. El TRIGGER del fichero conf.bfd es el que utilizará por defecto, aunque luego podremos configurar reglas para cada programa. Por defecto viene con 15 intentos:
TRIG=”15″
Lo siguiente a configurar será si queremos que nos envíe un mail para cada uno de los eventos de BFD, recomendable activarlo (valor 1):
EMAIL_ALERTS=”1″
Si activamos el mail de eventos, tenemos que indicarle una dirección de correo electrónico al que enviar el mail:
EMAIL_ADDRESS=”admin@tuservidor.com”
Lo último que nos queda, y solo si nos apetece es cambiar el asunto del mail que enviará BFD:
EMAIL_SUBJECT=”Brute Force Warning for $HOSTNAME”
Donde $HOSTNAME devolverá el nombre de nuestro servidor.
En la siguiente linea, BFD nos indica el comando a realizar cuando ha detectado un intento de ataque por fuerza bruta. En nuestro caso vamos a dejar el comando por defecto, que llama a APF firewall y bloquea la ip del atacante:
BAN_COMMAND=”/etc/apf/apf -d $ATTACK_HOST {bfd.$MOD}”
Al igual que nos ocurría con el firewall APF, nos puede suceder que BFD nos bloquee nuestra Ip si intentamos acceder a algún servicio y fallamos con el password repetidas veces (todos tenemos 500 cuentas de mail, contraseña del admin, contraseña SSH… Todo no se puede…). Para evitar esto podemos introducir Ips que BFD ignorará al hacer sus comprobaciones:
nano usr/local/bfd/ignore.hosts
Introducimos las Ips que sueles utilizar para la administración del sistema.
Con esto ya podemos ejecutar BFD para que empiece con las comprobaciones (que por defecto realizará cada 10 minutos).
/usr/local/sbin/bfd -s
Si queréis, tambien podéis configurar las reglas para cada programa en la carpeta /usr/local/bfd/rules. Por defecto trae reglas para Cpanel, Ensim, Proftpd, SSHd, Sendmail, etc , pero podeís intentarlo con cualquier servicio que tengáis en el servidor. En cada una de estas reglas tendréis un TRIGGER para cada uno de los servicios. Por ejemplo si queréis solo dejar 5 intentos para SSH:
nano /usr/local/bfd/rules/sshd
TRIG=”5″
Podeís “trastear” todo lo que queráis en estos archivos de reglas, incluso crear unos nuevos (para DirectAdmin por ejemplo).
Pues con esta conjunción de APF+BFD tenemos un sistema que ya empieza a ser bastante seguro. Pero nunca os olvidéis que siempre hay gente que va por delante de nosotros, y que hay que andar con cuidado. En próximos artículos seguiremos intentando que aunque vayan por delante, no nos lleven demasiada ventaja.
Comentarios
Dejar una respuesta
Tienes que estar conectado para escribir un comentario.
-
Servidores
-
Anuncios
-
Posts Recientes