Tome todas las precauciones necesarias para asegurarse de que la carcasa segura esté protegida. Jack Wallen le muestra cómo bloquear fácilmente direcciones IP específicas para evitar que accedan a su servidor Linux.
Si trabaja con Linux, lo más probable es que el shell seguro (SSH) forme parte de su rutina diaria. De hecho, la administración remota de un servidor Linux puede ser un reto sin esta herramienta a menudo alardeada. Y aunque SSH, por su diseño, es bastante seguro, no es perfecto. Si tienes un demonio SSH ejecutándose en un servidor, especialmente uno que sea accesible al mundo exterior, lo más probable es que esté siendo atacado por ataques regulares. Eventualmente uno de esos ataques se abrirá camino a la fuerza bruta en su servidor y tendrá sus datos. Para ello, debe tomar todas las precauciones necesarias para asegurarse de que SSH esté protegido.
Digamos, por ejemplo, que mientras revisa sus archivos de registro, descubre que una dirección IP en particular, no deseada, ha intentado iniciar sesión en su servidor, a través de SSH. Aunque hayan fallado esta vez, eso no les impedirá intentar una segunda, tercera o cuarta vez para entrar por la fuerza bruta. ¿A qué te dedicas? Como estás usando Linux, ya tienes todas las herramientas necesarias para ocuparte de esto.
Te voy a mostrar dos maneras diferentes de bloquear una dirección IP específica o un rango de direcciones usando las herramientas incorporadas. Las dos herramientas en cuestión son Uncomplicated Firewall (UFW) y TCP Wrappers. Estaré haciendo una demostración en Ubuntu Server 16.04, pero el proceso es el mismo en la mayoría de las distribuciones.
NOTA: Si su distribución no hace uso de UFW, necesitará ajustar este proceso, basado en el firewall utilizado.
Cortafuegos sin complicaciones
Nuestro primer método es el más complicado -simplemente porque hace uso de iptables, por medio del UFW. Digamos que la dirección IP que desea bloquear es 192.168.1.162. Vamos a bloquear esto usando UFW, con un solo comando:
sudo ufw deny from 192.168.1.162 port 22
Compruebe si UWF se está ejecutando y habilitando con el comando sudo uwf status. Si ves que la UFW está activa y la nueva regla aparece en la lista (), estás listo para empezar.
Si UFW está listado como inactivo, emita el comando sudo ufw enable y se iniciará y cargará su nueva regla escrita para bloquear la dirección IP ofensiva.
Para eliminar esa regla, se debe ejecutar el comando:
sudo ufw delete 1
Dado que nuestra regla de bloqueo SSH es la única regla, su número asociado será 1. Si tiene más de una regla, deberá asegurarse de eliminarla según su número correcto.
Si necesita bloquear un rango de direcciones, el comando sería:
sudo ufw deny from 192.168.1.162/24 puerto 22
Puedes bloquear cualquier rango que necesites usando la Notación CIDR.
Envolturas TCP
Ahora vamos a trabajar con el método más simple de bloquear una dirección IP para que no tenga acceso a su servidor a través de ssh. Ese método es TCP Wrappers. Una vez más, esto está integrado en Linux, por lo que no hay nada que instalar.
Para bloquear la misma dirección IP que con UFW, abra el archivo hosts.deny con el comando sudo nano /etc/hosts.deny. En ese archivo, agregue la siguiente línea:
sshd 192.168.1.162
Guarde y cierre el archivo.
Reinicie el demonio SSH con el comando:
sudo systemctl reiniciar sshd
En este punto, cuando la dirección IP infractora intente iniciar sesión, verán el error, que se muestra en la .
Si desea bloquear un rango de direcciones, la entrada tendrá el aspecto siguiente:
sshd 192.168.1.*
Si desea bloquear determinadas direcciones IP, éstas podrían aparecer como tales:
sshd 192.168.1.101, 192.168.1.102, 192.168.1.103
Dos métodos sencillos
Ahí lo tienes. Dos formas muy sencillas de bloquear direcciones IP específicas para que no puedan acceder a SSH en su servidor Linux. No se deje engañar, hay mejores y más complicados métodos para hacer esto, pero cuando quiere algo rápido y simple, no puede equivocarse con una regla UFW rápida o una adición de TCP Wrapper.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo