Fail2ban

¿Qué es Fail2Ban?

Fail2Ban es una herramienta de prevención de intrusiones que supervisa los intentos de conexión sospechosos en los registros del sistema (logs) y que puede integrarse en su infraestructura local.

¿Qué bloquea exactamente?

Fail2Ban protege principalmente contra ataques de tipo «Brute Force» (fuerza bruta).

Para determinar si una actividad es maliciosa, Fail2Ban analiza los intentos de conexión e identifica patrones específicos. Estos son los errores habituales que activan una alerta y un bloqueo:

- Usuario no válido: alguien intenta iniciar sesión con nombres aleatorios (p. ej., Administración, root, test, guest). Es el indicio típico de un bot que prueba diccionarios de nombres.
- Contraseña incorrecta: existe un usuario conocido, pero la contraseña introducida es incorrecta. Un número excesivo de intentos indica un ataque de fuerza bruta.
- «Authentication failure» (Error de autenticación): un error general que se produce cuando los datos de acceso proporcionados no coinciden con nada en la base de datos segura del servidor.
- Failed public key authentication (Error de autenticación con clave pública): Aunque utilices claves de seguridad (más seguras que las contraseñas), Fail2Ban bloquea a quienes intentan presentar claves no autorizadas de forma repetida.

Si una dirección IP genera 5 intentos fallidos en un intervalo de 10 minutos, queda bloqueada durante 10 minutos.

Requisitos de red para Medulla SaaS

Prueba de FLUX

Cortafuegos

Active Directory

Ya tengo un servidor PXE en mi red, ¿supone esto algún problema?

Diagrama de flujo simplificado de Medulla

OIDC

Vistas de DNS y relé de Medulla en la DMZ

Filtra los tipos de máquinas por ID GLPI

Accesos a GLPI para Medulla

Desactivar la convergencia del paquete «Extract drivers»

Guía de configuración: Autenticación OIDC y sincronización de usuarios

Soporte de activación / WSUS / CVE / Tienda

Cambiar el nombre del FQDN y pasar a HTTPS en Medulla

Cambiar el puerto SSH entre el servidor y los equipos

GLPI - Conectar un GLPI externo

SOPORTE - Acceso

Instalación de Medulla en un servidor privado virtual (VPS) de OVH

Equipos de cliente (estado y visibilidad)

Paquetes

Mantenimiento remoto y guía de inicio

Poner el agente en modo de depuración

Problema con el agente de Windows

Introducción

Las ACLs

Las ACLs, continuación

Consola y administración

Aumentar el tiempo de espera de las sesiones web (MMC / XMLRPC)

Recuperar la contraseña de root de la interfaz de Medulla

Despliegue (teledifusión)

Paquetes

Actualizaciones (Windows Updates)

Los menús de imágenes

Equipos de cliente (estado y visibilidad)

GPO

Reconfigurar mi agente

Generar agentes para Windows y Linux

Agentes de la distribución Linux MINT

Desinstalar un agente de Medulla (versiones anteriores a la 5.5.2)

Desinstalar un agente de Medulla (versión 5.5.2 y posteriores)

¿Cómo forzar la reconfiguración de los agentes de Medulla?

Duplicados de direcciones MAC

Comprobar la comunicación del agente con el servidor

Alertas de WithSecure sobre el uso de PAExec por parte de Medulla

Arquitectura y despliegue de los servidores de retransmisión de Medulla

Procedimiento para añadir relés a Medulla SaaS dedicado

Actualización de Medulla: de la versión 5.4.x a la 5.5.x

Servicios

Requisitos previos de Imágenes

Imágenes - Davos Debug

Imágenes - Depuración

¿Dónde se almacenan las plantillas de imágenes de Medulla?

Acerca de los másteres

Un equipo desconocido no aparece en Medulla ni en GLPI tras el registro PXE

Copiar perfiles de imágenes

Funcionamiento de la herramienta WSUS

El módulo de actualización (WSUS) no está disponible tras la activación de la protección AES de los catálogos de actualizaciones

Fail2ban

¿Qué es Fail2Ban?

¿Qué bloquea exactamente?