Antivirusonline.es. Seguridad en la red.

Los ataques a servidores son constantes. Para poder asegurar servidores hay una herramienta opensource creada por Vittorio Pavesi que anula los ataques tanto a Ftp’s como a  MS SQL Server y Remote Desktop.

Su funcionamiento se basa en leer los logs de windows para que una vez que se cumple un numero determinado de ataques en un tiempo determinado, la ip atacante, quede baneada y ésta queda añadida en una lista negra o “blacklist”

La versión que hemos testeado es Winfail2ban v0.3 y ésta instala un servicio de sistema y un configurador para poder interactuar con funcionamiento general del programa.

En la primera opción nos sale la ventana para decirle los parámetros de número de ataques y de tiempo  en el que éstos ataques se dan. Por ejemplo si en minutos ponemos 5 y en ataques 12, bloquearemos la ip atacante si en un espacio de tiempo de 5 minutos recibimos 12 fallos de autenticación.

En la segunda opción podemos decidir si banear por regla de filtrado del firewall o redirigiendo mal la petición (“Bad Route Banning”):

Todas las ips baneadas se encontraran en el listado de blacklist:

También podemos poner un listado de ips que nunca sean baneadas (“whitelist”)

La tercera opción nos permite configurar el envio mediante correo electrónico de los avisos cuando tengamos un atacante:

La Opción de sonido es para recibir aviso sonoro cuando tengamos un ataque.

Por último tenemos el listado de ips baneadas con fecha de ataque:

Es importante revisar el log del programa para asegurarnos que esta funcionando bien, así como hacer algunos tests para estar seguro de tener la protección activada. Para ello podemos reiniciar el servicio Winfail2ban.exe.

Los log para ver que esta todo funcionando perfectamente, los tenemos en INICIO- TODOS LOS PROGRAMAS-WINFAIL2LOG-LOG.

Ejemplo:

31/05/2009 21:51:36
WinFail2Ban: Stopping WinFail2Ban 1.0
—————————————–
31/05/2009 21:56:01
WinFail2Ban: Starting WinFail2Ban 1.0 (enable verbose logging)
—————————————–
31/05/2009 21:56:01
WinFail2Ban: Wait for events…
—————————————–
31/05/2009 22:35:42
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:44
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:47
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 1
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 2
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 3
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 4
—————————————–
31/05/2009 22:35:54
WinFail2Ban: BanIP 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Ban_BadRoute 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute Output:
—————————————–
31/05/2009 22:35:57
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:57
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:57
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 5
—————————————–
31/05/2009 22:35:57
WinFail2Ban: BanIP 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute Output:
—————————————–

Aquí vemos que se ha reiniciado el servicio y que despues de hacer un test de ataque sobre ftp, el programa esta funcionando bien y que añade a la lista negra la ip atacante del ataque por fuerza bruta:

El programa se puede descargar desde:

El programa para servidores y estaciones windows está basada en fail2ban para sistemas linux.

Para más información: www.fail2ban.org

El servicio de sistema utiliza unos 27700Kb de memoria Ram aproximadamente. Tenemos instalado el sistema para ver si su funcionamiento no da problemas, en todo caso actualizaremos con la nueva información que tengamos sobre su funcionamiento.

Para desbloquear cualquier ip que haya sido baneada, solo debemos reiniciar el host y automáticamente quedaran libres de bloqueo.

En la versión actual no funciona la “White list”, aunque próximamente Vittorio sacará una nueva versión con ésta funcionalidad y algunas mejoras.

El correo con un nuevo caso de phishing que se hace pasar por Caja Madrid, tiene el siguiente texto:

Estimado/a cliente de Caja Madrid,

Banco presenta con orgullo su renovado sistema de seguridad. Hemos renovado nuestros servidores SSL, que están protegidos contra fraudes y ponen a la disposición de nuestros clientes un mayor grado de protección en la red, de modo que la información de sus cuentas y sus datos personales son codificados durante todo el tiempo. .

Por causa de la renovación reciente del sistema Usted tiene que renovar y confirmar sus datos personales en la siguiente direccion portal de Banca por Internet.

Servicio de cliente de Banca por Internet.(link a http://www.pontyclunvanhire.co.uk/images/)

Caja de Ahorros y Monte de Piedad de Madrid, CAJA MADRID, C.I.F. G-28029007, Plaza de Celenque, 2. 28013 Madrid. Inscrita en el Rº Mercantil de Madrid al folio 20, tomo 3067 General, hoja 52454, y en el Rº Especial de Cajas de Ahorros con el número 99. Código B.E.: 2038. Código BIC: CAHMESMMXXX. Entidad de crédito sujeta a supervisión del Banco de España.

© Caja Madrid. 2001 – 2009. España. Todos los derechos reservados.

Si vamos a la página del link vemos la siguiente pantalla:

Viendo la dirección url de la página vemos claramente que no corresponde con la página real de cajamadrid, se parece pero no es la auténtica.

Si analizamos el correo electrónico vemos:

Received: from [81.241.227.74] by mail.digital-bridge.com [10.89.100.70] with SmartMax MailMax for anunez@arcos.inf.uc3m.es; Sun, 01 Feb 2009 15:31:03 -0500

Es un correo claramente falso con la intención de recoger nuestro login y password para robar el dinero de tu cuenta. Los pasos que seguirían seria, hacer una transferencia a otra persona que también ha sido engañada y ésta debería hacer un envío del dinero mediante westernunion o cualquier otra con el fin de hacer desaparecer la pista y quedar impunes ante este acto de ciberdelincuencia.

Muchos pensaremos que es difícil que la gente caiga en estas trampas pero mucha gente es víctima de estos delitos, más de la que nos parece. De hecho el día que nadie caiga en esto, estos casos de phishing desaparecerán o mutaran a otros mucho más elaborados.