Antivirusonline.es. Seguridad en la red.

Los ataques a servidores son constantes. Para poder asegurar servidores hay una herramienta opensource creada por Vittorio Pavesi que anula los ataques tanto a Ftp’s como a  MS SQL Server y Remote Desktop.

Su funcionamiento se basa en leer los logs de windows para que una vez que se cumple un numero determinado de ataques en un tiempo determinado, la ip atacante, quede baneada y ésta queda añadida en una lista negra o “blacklist”

La versión que hemos testeado es Winfail2ban v0.3 y ésta instala un servicio de sistema y un configurador para poder interactuar con funcionamiento general del programa.

En la primera opción nos sale la ventana para decirle los parámetros de número de ataques y de tiempo  en el que éstos ataques se dan. Por ejemplo si en minutos ponemos 5 y en ataques 12, bloquearemos la ip atacante si en un espacio de tiempo de 5 minutos recibimos 12 fallos de autenticación.

En la segunda opción podemos decidir si banear por regla de filtrado del firewall o redirigiendo mal la petición (“Bad Route Banning”):

Todas las ips baneadas se encontraran en el listado de blacklist:

También podemos poner un listado de ips que nunca sean baneadas (“whitelist”)

La tercera opción nos permite configurar el envio mediante correo electrónico de los avisos cuando tengamos un atacante:

La Opción de sonido es para recibir aviso sonoro cuando tengamos un ataque.

Por último tenemos el listado de ips baneadas con fecha de ataque:

Es importante revisar el log del programa para asegurarnos que esta funcionando bien, así como hacer algunos tests para estar seguro de tener la protección activada. Para ello podemos reiniciar el servicio Winfail2ban.exe.

Los log para ver que esta todo funcionando perfectamente, los tenemos en INICIO- TODOS LOS PROGRAMAS-WINFAIL2LOG-LOG.

Ejemplo:

31/05/2009 21:51:36
WinFail2Ban: Stopping WinFail2Ban 1.0
—————————————–
31/05/2009 21:56:01
WinFail2Ban: Starting WinFail2Ban 1.0 (enable verbose logging)
—————————————–
31/05/2009 21:56:01
WinFail2Ban: Wait for events…
—————————————–
31/05/2009 22:35:42
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:44
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:47
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 1
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 2
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 3
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:54
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:54
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 4
—————————————–
31/05/2009 22:35:54
WinFail2Ban: BanIP 192.168.1.12
—————————————–
31/05/2009 22:35:54
WinFail2Ban: Ban_BadRoute 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute Output:
—————————————–
31/05/2009 22:35:57
WinFail2Ban: ParseFTPMessage
—————————————–
31/05/2009 22:35:57
WinFail2Ban: ParseW3CLog
—————————————–
31/05/2009 22:35:57
WinFail2Ban: AttackDetected 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Total Attack from IP 192.168.1.12 during last 2 are 5
—————————————–
31/05/2009 22:35:57
WinFail2Ban: BanIP 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute 192.168.1.12
—————————————–
31/05/2009 22:35:57
WinFail2Ban: Ban_BadRoute Output:
—————————————–

Aquí vemos que se ha reiniciado el servicio y que despues de hacer un test de ataque sobre ftp, el programa esta funcionando bien y que añade a la lista negra la ip atacante del ataque por fuerza bruta:

El programa se puede descargar desde:

El programa para servidores y estaciones windows está basada en fail2ban para sistemas linux.

Para más información: www.fail2ban.org

El servicio de sistema utiliza unos 27700Kb de memoria Ram aproximadamente. Tenemos instalado el sistema para ver si su funcionamiento no da problemas, en todo caso actualizaremos con la nueva información que tengamos sobre su funcionamiento.

Para desbloquear cualquier ip que haya sido baneada, solo debemos reiniciar el host y automáticamente quedaran libres de bloqueo.

En la versión actual no funciona la “White list”, aunque próximamente Vittorio sacará una nueva versión con ésta funcionalidad y algunas mejoras.

Hay mucha gente que pregunta por qué su antivirus Kaspersky (Cualquier versión), constantemente le avisa de que su clave está en lista negra, y lo inutiliza.

Esto es debido a varios posibles motivos:

• La licencia que está usando es pirata o ilegal.
• El número de Pc’s que utilizan la licencia supera el número de equipos permitidos.

Vayamos por partes.

En el primer caso, es muy posible que se haya descargado Kaspersky de un sitio ilegal, con una licencia, por lo tanto, ilegal.
Kaspersky detecta estas licencias, y las bloquea dejándolas inutilizadas al completo.

El segundo paso suele ser bastante frecuente, ya que le venden el programa de protección a un precio mucho más económico, o “se lo regalan”, y acaban usando, una licencia de 1 ordenador, 10 ordenadores, por ejemplo, y Kaspersky la bloquea también.
Antes de comprar una licencia, debes asegurarte de cuantos ordenadores la necesitarán, y comprar el número de licencias correspondientes.
No puedes usar más de un ordenador por licencia (en caso de ser de un sólo Pc), y no más de 10 ordenadores en caso de corresponder la licencia a 10 equipos.

Por lo tanto, la única solución ante la lista negra, es comprando una nueva licencia. Si te la vendieron, ha de recurrir al distribuidor que la vendió.

Cuando compre una licencia, no la distribuya con nadie, guarde bien el número, ya que se expone a que la clave pase a la lista negra.

Si no dispone de una licencia de Kaspersky, puede contactar con AntivirusOnline, somos Distribuidores Oficiales de productos Kaspersky.