BFD (Brute Force Detection), es un script en shell que parsea los logs de los diferentes servicios (ssh, ftp, apache, exim…) y chequea en busca de fallos repetitivos de autenticación, exceso de conexiones desde determinadas IPs, etc.
Combinado con APF (click aquí para acceder a una guía de instalación y configuración) forman un sistema de protección realmente bueno para nuestro sistema, ya que BFD le indicará a APF que IPs debe bloquear para que su acceso al servidor sea denegado (lo explicamos ahora):
Instalación de BFD:
La instalación es extremadamente sencilla:
cd /root/descargas
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
tar -xvzf bfd-current.tar.gz
cd bfd-0.7
./install.sh
Una vez hecho esto, nos indicará las rutas a ejecutables y ficheros de configuración:
.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd
Configuración de BFD:
Editamos el fichero de configuración con nuestro editor favorito:
vi /usr/local/bfd/conf.bfd
Activamos las alertas de ataque (cambiamos de 0 a 1), y configuramos que nos envíe un email por cada una:
ALERT_USR=»1″
EMAIL_USR=»tucuenta@tudominio.com»
Para evitar que el sitema bloquee nuestra IP local, la añadimos al fichero que guarda las IPs a ignorar en el rastreo, añadiremos p.ej. 192.168.1.1 en:
vi /usr/local/bfd/ignore.hosts
Ejecutamos el programa:
/usr/local/sbin/bfd -s
BFD chequeará los logs cada X tiempo, el que le indiquemos en su cron, por defecto cada 10 minutos:
[root@localhost ~]# cat /etc/cron.d/bfd
MAILTO=
SHELL=/bin/sh
#*/5 * * * * root /usr/local/sbin/bfd -q
Una vez comprendido esto, podéis personalizar las reglas que vienen por defecto para cada servicio, se encuentra en la siguiente ubicación:
/usr/local/bfd/rules
Con lo que más podéis jugar es con el valor “TRIG”, que indica el nº de conexiones o intentos permitidos para cada servicio, configuradlo en función de las necesidades de cada servicio:
TRIG=»45″
Con un poco más de paciencia, y estudiando cada regla puede personalizarse completamente, no obstante la seguridad de nuestro servidor, teniendo BFD + APF ha mejorado notablemente.
Fuente: rm-rf.es