Antivirusonline.es. Seguridad en la red.

Firewall

Bloquear IP de Ataques Fuerza Bruta WinFail2ban

by on may.29, 2009, under Firewall, Hacking

Los ataques a servidores son constantes. Para poder asegurar servidores hay una herramienta opensource creada por Vittorio Pavesi que anula los ataques tanto a Ftp’s como a  MS SQL Server y Remote Desktop.

Su funcionamiento se basa en leer los logs de windows para que una vez que se cumple un numero determinado de ataques en un tiempo determinado, la ip atacante, quede baneada y ésta queda añadida en una lista negra o “blacklist”

La versión que hemos testeado es Winfail2ban v0.3 y ésta instala un servicio de sistema y un configurador para poder interactuar con funcionamiento general del programa.

wf2b

En la primera opción nos sale la ventana para decirle los parámetros de número de ataques y de tiempo  en el que éstos ataques se dan. Por ejemplo si en minutos ponemos 5 y en ataques 12, bloquearemos la ip atacante si en un espacio de tiempo de 5 minutos recibimos 12 fallos de autenticación.

pwf2b

En la segunda opción podemos decidir si banear por regla de filtrado del firewall o redirigiendo mal la petición (“Bad Route Banning”):

bwf2b

Todas las ips baneadas se encontraran en el listado de blacklist:

blwf2ban

También podemos poner un listado de ips que nunca sean baneadas (“whitelist”)

wlwf2ban

La tercera opción nos permite configurar el envio mediante correo electrónico de los avisos cuando tengamos un atacante:

mwf2b

La Opción de sonido es para recibir aviso sonoro cuando tengamos un ataque.

Por último tenemos el listado de ips baneadas con fecha de ataque:

banwf2b

Es importante revisar el log del programa para asegurarnos que esta funcionando bien, así como hacer algunos tests para estar seguro de tener la protección activada. Para ello podemos reiniciar el servicio Winfail2ban.exe.

Los log para ver que esta todo funcionando perfectamente, los tenemos en INICIO- TODOS LOS PROGRAMAS-WINFAIL2LOG-LOG.

Ejemplo:

31/05/2009 21:51:36
WinFail2Ban: Stopping WinFail2Ban 1.0
—————————————–
31/05/2009 21:56:01
WinFail2Ban: Starting WinFail2Ban 1.0 (enable verbose logging)
—————————————–
31/05/2009 21:56:01
WinFail2Ban: Wait for events…
—————————————–
31/05/2009 22:35:42
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:44
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:47
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 1
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 2
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 3
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 4
—————————————–
31/05/2009 22:35:54
WinFail2Ban: BanIP 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Ban_BadRoute 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute Output:
—————————————–
31/05/2009 22:35:57
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:57
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:57
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 5
—————————————–
31/05/2009 22:35:57
WinFail2Ban: BanIP 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute Output:
—————————————–

Aquí vemos que se ha reiniciado el servicio y que despues de hacer un test de ataque sobre ftp, el programa esta funcionando bien y que añade a la lista negra la ip atacante del ataque por fuerza bruta:

wf2ban2

El programa se puede descargar desde:

download_managerEl programa para servidores y estaciones windows está basada en fail2ban para sistemas linux.

Para más información: www.fail2ban.org

El servicio de sistema utiliza unos 27700Kb de memoria Ram aproximadamente. Tenemos instalado el sistema para ver si su funcionamiento no da problemas, en todo caso actualizaremos con la nueva información que tengamos sobre su funcionamiento.

Para desbloquear cualquier ip que haya sido baneada, solo debemos reiniciar el host y automáticamente quedaran libres de bloqueo.

En la versión actual no funciona la “White list”, aunque próximamente Vittorio sacará una nueva versión con ésta funcionalidad y algunas mejoras.

3 Comments :, , más...

Mensaje SMS procedente de BHL

by on mar.28, 2009, under Firewall, General

Se está enviando masivamente un mensaje SMS desde el número de teléfono +79128599240 con el siguiente contenido:

BHL: Tenemos pendiente de entregar un paquete al titular del 34XXXXXXXXX. Si es Vd., por favor contacte con nosotros al 905433523

Como se ve el objetivo de estos estafadores es que llamemos al teléfono 905 con el fin de cobrarnos por las llamadas.

Parece que desde hace algun tiempo mucha gente está recibiendo este SMS y parece que se está investigando sobre los responsables de esta estafa.

Deja un Comentario : más...

Conflicto de Firewalls

by on ene.31, 2009, under Firewall

Más de una vez nos habremos encontrado con el aviso de un conflicto de Firewalls.

El firewall o cortafuegos, presente en muchas suites de seguridad (Kaspersky IS, Panda IS…), controla las conexiones que entran y salen de nuestro Pc, evitando así conexiones maliciosas, hackeos, etc.

Windows trae de serie un firewall, poco efectivo, que controla sólo las aplicaciones de nuestro equipo.

El problema está cuando instalamos una suite de seguridad, y no desactivamos el firewall de windows.
Muchas veces, el propio programa nos avisará de que hay un conflicto, pero si no lo hace, podemos encontrarnos con:

  • No funciona Internet.
  • Podemos navegar temporalmente

Para ello, recomendamos usar el Firewall de la suite de seguridad.

Debemos ir, entonces a:

Inicio > Panel de Control > Firewall de Windows > Desactivar > Aplicar.

Firewall de Windows

Luego nos dirigimos al Centro de Seguridad y comprobamos que otro Firewall, en este caso el de Kaspersky Internet Security, está activado.

Firewall Kaspersky

De esta forma, ya no tendremos más conflictos entre Firewalls, y evitaremos problemas de conexión y demás, quedando protegidos.

Saludos.

Deja un Comentario :, más...

Buscando Algo?

Usa el formulario para buscar en el sitio:

Aun no encontraste lo que buscas? Deja un comentario o contacta con nosotros, te hecharemos un cable!

Webs Amigas!

Creemos que puede interesarte...

Archivos

Todas las entradas, cronológicamente...