Fail2ban

¿Qué es Fail2Ban?

Fail2Ban es una herramienta de prevención contra intrusiones que supervisa los intentos de conexión sospechosos en los registros del sistema (logs) y que puede implementarse en su infraestructura local.

¿Qué bloquea exactamente?

Fail2Ban protege principalmente contra ataques de tipo «Brute Force» (fuerza bruta).

Para decidir si una actividad es maliciosa, Fail2Ban analiza los intentos de conexión e identifica patrones específicos. Estos son los errores comunes que desencadenan una alerta y un bloqueo:

- Usuario no válido: alguien intenta iniciar sesión con nombres aleatorios (por ejemplo: admin, root, test, guest). Es el indicio típico de un bot que prueba diccionarios de nombres.
- Contraseña incorrecta: existe un usuario conocido, pero la contraseña introducida es incorrecta. Un número excesivo de intentos indica un ataque de fuerza bruta.
- Authentication failure (Error de autenticación): Un error general que se produce cuando las credenciales proporcionadas no coinciden con ninguna entrada de la base de datos segura del servidor.
- Failed public key authentication (Autenticación de clave pública fallida): Aunque utilices claves de seguridad (más seguras que las contraseñas), Fail2Ban bloquea a quienes intentan presentar claves no autorizadas repetidamente.

Si una IP genera 5 fallos en un intervalo de 10 minutos, se bloquea durante 10 minutos.

Requisitos de red para Medulla SaaS

Puestos de cliente (estado y visibilidad)

Implementación (teledifusión)

Paquetes

Mantenimiento remoto y puesta en marcha

Implementación (teledifusión)

Mantenimiento remoto y puesta en marcha

Prueba de FLUX

Cortafuegos

Requisitos previos para IMAGING

Active Directory

Ya tengo un servidor PXE en mi red, ¿supone esto algún problema?

Diagrama de flujo simplificado de Medulla

OIDC

Vistas DNS y relé de Medulla en DMZ

Filtrar tipos de máquinas por ID GLPI

Su GLPI con usuario de solo lectura

Desactivar la convergencia del paquete Extract drivers

Guía de configuración: Autenticación OIDC y sincronización de usuarios

Aumentar el tiempo de espera de la conexión a la interfaz

Soporte de activación / WSUS / CVE

Cambiar el FQDN del servidor

Cambiar el puerto SSH entre el servidor y el equipo

GLPI - Conectar un GLPI externo

Requisitos de red para Medulla SaaS Privado

Puestos de cliente (estado y visibilidad)

Implementación (teledifusión)

Paquetes

Consola y administración

Mantenimiento remoto y puesta en marcha

Puestos de cliente (estado y visibilidad)

Paquetes

Consola y administración

Mantenimiento remoto y puesta en marcha

Poner el agente en modo de depuración

Problema con el agente de Windows

Introducción

Las ACL

Las ACL a continuación

Consola y administración

Implementación (teledifusión)

Paquetes

Actualizaciones (Windows Updates)

Los menús de imágenes

Puestos de cliente (estado y visibilidad)

GPO

Reconfigurar mi agente

Generar agentes para Windows y Linux

Agentes de la distribución Linux MINT

Desinstalación del agente Medulla (versiones anteriores a la 5.5.2)

Desinstalación del agente Medulla versión 5.5.2 y superiores

Arquitectura e implementación de los servidores de retransmisión de Medulla

Procedimiento para añadir relés a Medulla SaaS dedicado

Actualización de Medulla: de la versión 5.4.x a la 5.5.x

Fail2ban

¿Qué es Fail2Ban?

¿Qué bloquea exactamente?