Downloads Online

Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.





APF.



Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.



Configuración básica:



Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:



# Untrusted Network interface(s); all traffic on defined interface will be

# subject to all firewall rules. This should be your internet exposed

# interfaces. Only one interface is accepted for each value.

# NOTE: The interfacing structure is being worked towards support of MASQ/NAT

IFACE_IN="eth0"

IFACE_OUT="eth0"



Después es posible configurar los interfaces de red para que los ignore.



# Trusted Network interface(s); all traffic on defined interface(s) will by-pass

# ALL firewall rules, format is white space or comma seperated list.

IFACE_TRUSTED="eth1"



Luego puertos TCP de entrada permitidos.



# Common ingress (inbound) TCP ports

IG_TCP_CPORTS="80, 110,443"



Puertos UDP de entrada permitidos.



# Common ingress (inbound) UDP ports

IG_UDP_CPORTS=" 110"



Luego puertos TCP de salida permitidos.



# Common egress (outbound) TCP ports

EG_TCP_CPORTS="80, 110,443"



Puertos UDP de salida permitidos.



# Common egress (outbound) UDP ports

EG_UDP_CPORTS=" 110"



Entradas ICMP permitidas:



# Common ICMP (inbound) types

# 'internals/icmp.types' for type definition; 'all' is wildcard for any

IG_ICMP_TYPES="3,5,11"



Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…



Más información y descarga de APF:

http://www.rfxn.com/projects/advanced-policy-firewall/





BFD.



Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.



Configuración básica:



Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.



TRIG=10



Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.



EMAIL_ALERTS=1

EMAIL_ADDRESS=administrador@servidor.es



Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.



Más información y descarga de BFD:

http://www.rfxn.com/projects/brute-force-detection/





DDoS Deflate.



Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.



Configuración básica:



Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.



FREQ=1



Después número de conexiones máximas permitidas antes de proceder a bloquear IP:



NO_OF_CONNECTIONS=160



Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.



APF_BAN=1



Tiempo en minutos, en el que la IP atacante será bloqueada:





BAN_PERIOD=500



Dirección de email a la que notificar cuando actúa DDoS Deflate.





EMAIL_TO=” administrador@servidor.es”



Más información y descarga de DDoS Deflate:

http://deflate.medialayer.com/