BFD es un script que se aplica a los logs y checkea fallos de autentificación. En unión con APF banea esas IPs que estan intentando entrarnos...
La web oficial del script es: http://www.rfxnetworks.com/bfd.php
En esta guía veremos como Instalar BFD y como configurarlo. Incluso nos avisará por mail cuando una IP ha intentado entranos fallidamente y ha sido baneada.
Logeate en tu servidor por SSH y su a root.
1. cd /root/downloads o otro directorio temporal para tus archvios.
2. wget http://www.rfxnetworks.com/downloads/bfd-c...-current.tar.gz
3. tar -xvzf bfd-current.tar.gz
4. cd bfd-0.2
5. Ejecuta el instalador: ./install.sh
Recibirás un mensaje avisandote de que ya esta instalado
.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd
6. Editamos el archivo de configuración: pico /usr/local/bfd/conf.bfd
7. Activamos alertas contrar intentos de brute force hack:
Busca: ALERT_USR="0" CAMBIALO A: ALERT_USR="1"
Busca: EMAIL_USR="root" CAMBIALO A: EMAIL_USR="tu@dirección de correo"
Guarda los cambios: Ctrl+X then Y
8. Evita que te banee a ti mismo!
pico -w /usr/local/bfd/ignore.hosts y añade tus IPS. (con las que accedes al servidor, las de conexión a internet Ej: 192.168.1.1)
Guarda los cambios: Ctrl+X then Y
BFD usa la habilidad de inserción de APF' cli
y añadirá las IPS que intentan entrarte al archivo de IPS baneadas por lo que es importante añadir tus IPS al archivo de allow_hosts.rules para evitar que te blockee el acceso al servidor.
9. Ejecuta el Programa!
/usr/local/sbin/bfd -s
Full Version: Instalación de Force Brute Detection
Parece muy buena utilidad este how-to urbenalia 
Voy a instalarlo y provarlo ....., pero te quiero hacer una pregunta antes .
Para el final dices que se debe de poner nuestras ip's en allow_hosts.rules para que no nos bloqueen el acceso al server ..., Pero como lo pongo en este archivo mi ip?
Simplemente la pongo al final del archivo y ya esta? , o he de poner alguna sintaxis especial?
y en el punto numero 8 de tu how-to tambien dices que he de poner mi ip a /usr/local/bfd/ignore.hosts ....Pero que ip refieres? , las que tengo de rango interno en mi red , o la externa de salida a internet? ejemplo de interna : rango 192.168.1.1 . ejemplo de externa : 80.30.30.1 (por ejemplo).
Sin mas un saludo y gracias por tu aportación
Voy a instalarlo y provarlo ....., pero te quiero hacer una pregunta antes .
Para el final dices que se debe de poner nuestras ip's en allow_hosts.rules para que no nos bloqueen el acceso al server ..., Pero como lo pongo en este archivo mi ip?
Simplemente la pongo al final del archivo y ya esta? , o he de poner alguna sintaxis especial?
y en el punto numero 8 de tu how-to tambien dices que he de poner mi ip a /usr/local/bfd/ignore.hosts ....Pero que ip refieres? , las que tengo de rango interno en mi red , o la externa de salida a internet? ejemplo de interna : rango 192.168.1.1 . ejemplo de externa : 80.30.30.1 (por ejemplo).
Sin mas un saludo y gracias por tu aportación
En allow_hosts.rules
Pones tus IPs despues de todo lo que va en #####
osea, en el fichero tienes esto:
# Syntax:
# proto:flow:[s/d]=port:[s/d]=ip(/mask)
# s - source , d - destination , flow - packet flow in/out
#
# Examples:
# inbound to destination port 22 from 24.202.16.11
# tcp:in:d=22:s=24.202.16.11
#
# outbound to destination port 23 to destination host 24.2.11.9
# out:d=23:d=24.2.11.9
#
# inbound to destination port 3306 from 24.202.11.0/24
# d=3306:s=24.202.11.0/24
#
##
96.145.67.12 <---- ips
128.23.46.57 <---- Ips
En ignore.hosts yo tengo puestas tambien las IPS de conexión a internet, osea las de Internet, no las internas.
Un Saludo
Pones tus IPs despues de todo lo que va en #####
osea, en el fichero tienes esto:
# Syntax:
# proto:flow:[s/d]=port:[s/d]=ip(/mask)
# s - source , d - destination , flow - packet flow in/out
#
# Examples:
# inbound to destination port 22 from 24.202.16.11
# tcp:in:d=22:s=24.202.16.11
#
# outbound to destination port 23 to destination host 24.2.11.9
# out:d=23:d=24.2.11.9
#
# inbound to destination port 3306 from 24.202.11.0/24
# d=3306:s=24.202.11.0/24
#
##
96.145.67.12 <---- ips
128.23.46.57 <---- Ips
En ignore.hosts yo tengo puestas tambien las IPS de conexión a internet, osea las de Internet, no las internas.
Un Saludo
Donde esta: En allow_hosts.rules ? , bueno mejor dicho yo puse mis ips en el pico -w /usr/local/bfd/ignore.hosts y añade tus IPS, eso es suficiente para que no me banee a mi mismo? si es asi entonces puedo correr el programa?
gracias
gracias
Si tienes APF u otro programa Firewall tienes que poner tus IPS en el FBD para que a ti no te banee y en el firewall para que tu ip no sea baneada en caso de por ejemplo fallar demasiadas veces al meter un password.
mi pregunta es una vez blokeada la ip como puedo ver las ips bloqueadas y borrar por ejemplo por que sea que un usuario se haya equibocado ¿¿??
Vas a esos ficheros y eliminas las IPs bloqueadas. Estarán siempre abajo del todo. Esas IPS se añaden al fichero del firewall de baneo de ips: deny_hosts.rules. El FBD lo que hace es un /etc/apf/apf -d (IP) de la ip que ve que esta intentando colarse y ha fallado varias veces los pass.
Os adjunto un listado de IPS de servidores que suelen atacar, esta sacado de un mensaje del foro ingles simplemente es copiar y y pegar en el archivo deny_hosts.rules del APF. (quien lo use y sino en el respectivo de su firewall)
Un Saludo
Os adjunto un listado de IPS de servidores que suelen atacar, esta sacado de un mensaje del foro ingles simplemente es copiar y y pegar en el archivo deny_hosts.rules del APF. (quien lo use y sino en el respectivo de su firewall)
Un Saludo
Este brute force se carga solo al inicio ?
Si se carga solo al inicio 
Una pregunta estupida, y los que tenemos ips dinámicas para conectarnos ??????
No podemos usarlo ?
No podemos usarlo ?
Los que tenemos ip dinamica podemos utilizar wildcards?, otra cosa, cuanto dura el baneo? :confused:
El baneo dura siempre A no ser que borres las entradas del fichero deny_hosts.rules y reinicies el firewall (apf -r).
Si tienes IP dinámica, puedes reconectar para que te de otra IP y listo (con modem solo necesitas colgar y marcar, con ADSL y cable, al reiniciar el router suele dar una IP distinta, aunque no siempre). Si no tiene forma de que te den una IP distinta, lo que puedes hacer es tener una conexión por modem de emergencia.
O utilizar la consola remota y conectarte a tu servidor, borrar la entrada de tu IP y reiniciar el APF.
A no ser que borres las entradas del fichero deny_hosts.rules y reinicies el firewall (apf -r).Si tienes IP dinámica, puedes reconectar para que te de otra IP y listo (con modem solo necesitas colgar y marcar, con ADSL y cable, al reiniciar el router suele dar una IP distinta, aunque no siempre). Si no tiene forma de que te den una IP distinta, lo que puedes hacer es tener una conexión por modem de emergencia.
O utilizar la consola remota y conectarte a tu servidor, borrar la entrada de tu IP y reiniciar el APF.
Hola:
Es muy bueno el tutorial.
Yo hace tiempo tengo instalado este programa en mis servidores y funciona muy bien, hoy visitando este foro he visto que para evitar tanto login fallido en el SSH es bueno cambiar el puerto de 22 a cualquier otro, lo que me pregunto ahora es si hace falta cambiar algo en la configuracion del BFD para reflejar el cambio de puerto.
Saludos y gracias de antemano.
Es muy bueno el tutorial.
Yo hace tiempo tengo instalado este programa en mis servidores y funciona muy bien, hoy visitando este foro he visto que para evitar tanto login fallido en el SSH es bueno cambiar el puerto de 22 a cualquier otro, lo que me pregunto ahora es si hace falta cambiar algo en la configuracion del BFD para reflejar el cambio de puerto.
Saludos y gracias de antemano.
No es necesario. El BFD en realidad lo que hace es revisar los logs en busca de los mensajes de error de login fallido, asi que le da lo mismo en que puerto esté.
Bueno y vamonos a un caso.... resulta que a los clientes se les olvidan las claves con facilidad.... y en muchas ocasiones me he visto en la tarea de ir a desbloquear las ips desde las que se conectan por que quedan sin acceso.
Si quisiera que el BDF no reportara accesos fallidos desde protocolo PO3 o desde otro protocolo como podria hacerlo??
Hay ocasiones en que los intentos de acceso suman mas de 900 desde la misma IP antes de ser bloqueada la misma... como puedo limitar esto.
Muchas Gracias
Si quisiera que el BDF no reportara accesos fallidos desde protocolo PO3 o desde otro protocolo como podria hacerlo??
Hay ocasiones en que los intentos de acceso suman mas de 900 desde la misma IP antes de ser bloqueada la misma... como puedo limitar esto.
Muchas Gracias
Hola amigos,
Resulta que acabo de instalar el BFD y tengo tres dudas que seguro las van a saber:
¿ Cuando banea a una IP llega el e-mail de aviso al momento o lo envía a una cierta hora ?
¿ y otra duda es si alguien sabe cuantos intentos fallidos deja tener hasta que te banea ?
¿ Con respecto a la pregunta anterior, se puede modificar estos intentos a tu antojo ?
Un saludo y gracias.
Resulta que acabo de instalar el BFD y tengo tres dudas que seguro las van a saber:
¿ Cuando banea a una IP llega el e-mail de aviso al momento o lo envía a una cierta hora ?
¿ y otra duda es si alguien sabe cuantos intentos fallidos deja tener hasta que te banea ?
¿ Con respecto a la pregunta anterior, se puede modificar estos intentos a tu antojo ?
Un saludo y gracias.
Bueno ya contesto yo a las dos últimas preguntas, lo pongo aqui para que así sea util a otra gente
Cada servicio que esta en /usr/local/bfd/rules/ al abrirlo aparece el código y la linea que pone TRIG="NUMERO" esas son las veces que deja fallar. Simplemente variarlas y ya está.
Haber si me ayudais con el tema del e-mail.
Un saludo
Cada servicio que esta en /usr/local/bfd/rules/ al abrirlo aparece el código y la linea que pone TRIG="NUMERO" esas son las veces que deja fallar. Simplemente variarlas y ya está.
Haber si me ayudais con el tema del e-mail.
Un saludo
Hola
En mi server el TRIG esta en 3 pero igual algunas veces aparecen cientos de intentos, supongo que esto es por los minutos en chequea, o sea como es un CRON que corre cada 8 minutos creo, depende de esto, no solamente de varias el trig
En mi server el TRIG esta en 3 pero igual algunas veces aparecen cientos de intentos, supongo que esto es por los minutos en chequea, o sea como es un CRON que corre cada 8 minutos creo, depende de esto, no solamente de varias el trig
Mi pregunta es la siguiente, si el servidor es compartido a varios dominios y cada dominio tiene sus propios usuarios.
como haria yo para que bannee solo IPS que han echo ataque o sea que por ejemplo si pasa los 10 Fallidos se banee o algo asi,
como haria yo para que bannee solo IPS que han echo ataque o sea que por ejemplo si pasa los 10 Fallidos se banee o algo asi,
Yo la verdad anda bastante interesado en el dichoso bloqueo este.
encontre el forum de R-fx Networks
que el problema radica en que el crontab de BDF es que corre cada 10 minutos, asi que se pueden imaginar cuantos intentos fallidos se pueden hacer en ese tiempo...pueden mirar la respuesta a dicha inquietud en este link http://forums.rfxnetworks.com/viewtopic.php?t=475
Si le sirve fue con gusto...
Te suerte es que te digo...
encontre el forum de R-fx Networks
que el problema radica en que el crontab de BDF es que corre cada 10 minutos, asi que se pueden imaginar cuantos intentos fallidos se pueden hacer en ese tiempo...pueden mirar la respuesta a dicha inquietud en este link http://forums.rfxnetworks.com/viewtopic.php?t=475
Si le sirve fue con gusto...
Te suerte es que te digo...
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.