Proteger nuestra red interna y nuestros servidores

Nuestros equipos están constantemente bajo ataque en el momento que los exponemos a internet. El 99.9999% de las veces es un robot que intenta abrir una consola y tomar el control del aparato. Considera que el robot no sabe a que se está conectanto y en la red hay montones de aparatos informáticos con consola y la contraseña por defecto… como Access Point wifi, Cámaras IP principalmente, pero también neveras, lamparas, coches, batidoras, etc… el internet de las cosas sería mejor no usarlo si no tienes el niver para proteger a tus “cosas”.

Bueno, pero volvemos al tema. Como vamos a proteger nuestra red interna (LAN) y nuestros servidores expuestos a los rigores de internet?

LA solución simple pero efectiva es juntar el firewall UFW y el sistema de detección automática Fail2Ban

Juntos estos dos programas protegen a un nivel muy alto nuestra red. ASí que vamos a instalarlos:

apt install ufw fail2ban

No hace falta instalar estos programas en todos nuestros equipos. Solo en el servidor principal que dirige el tráfico con Traefik. Si estás usando ISPConfig y has seguido las instrucciones de “The Perfect Server…” ya tienes estas dos herramientas instaladas y puedes activar el fierewall desde el panel de control.

En cambio si estás usando Docker y Traefik, tendrás que instalar estos programas.

apt install ufw fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Si al activar Fail2Ban te da errores en el log (/var/log/fail2ban.log) simplemente reinicia el servidor; no se han cargados unos módulos del kernel.

UFW por defecto está desactivado y se activa con:

ufw enable # No lo hagas aún!!

CUIDADO con UFW si usas una conexión al terminal ssh. Si cometes errores te cierra la puerta y no puedes volver a entrar por ssh.
Tendrás que hacerlo conectando un monitor y un teclado al servidor.

Otro sistema (muy bruto) para recuperar la conexión ssh si no tienes un monitor a disposición, es lo de apagar el servidor, sacar la tarjeta SD, conectarla al portátil y editar como root el fichero /etc/init.d/ufw poniendo arriba del todo un “exit 0”. Vuelve a poner la SD en la ranura del servidor y enciende lo. Esta vez no puede arrancar UFW y podrás volver a entrar por ssh para arreglar los errores…. que en normalidad es, olvidase de:

ufw allow ssh
ufw allow 2222 # si has cambiado el puerto de sshd con este

Para no olvidarse de activar algunos puertos, lo mejor es hacer un escaneo antes de activar el firewall y fail2ban con nmap en otro equipo….
Y no como yo que me olvidado activar el puerto 8100 de icecast y de esta forma nadie pudo escuchar la radio por una semana entera! Y yo sin enterarme!

apt install nmap
root@w1:~# nmap 194.149.223.10
Starting Nmap 7.70 ( https://nmap.org ) at 2021-02-21 21:38 CET
Nmap scan report for 194.149.223.10

Host is up (0.059s latency).
Not shown: 988 filtered ports
PORT     STATE  SERVICE
80/tcp   open   http
81/tcp   filtred hosts2-ns
443/tcp  open   https
873/tcp  filtred rsync
1080/tcp open   socks
2222/tcp open   EtherNetIP-1

Nmap done: 1 IP address (1 host up) scanned in 53.87 seconds

entonces en el terminal del servidor:

ufw allow ssh (si tu server usa el puerto 22 por defecto)
ufw allow 80
ufw allow 443
ufw allow 1080
ufw allow 1081
ufw allow 2222 
(este último en el caso haya puesto el puerto 2222 al servicio ssh)

Reinicia por si a caso, y luego activa el firewall con

ufw enable

y con esto tendrás levantado el firewall y fail2ban

Comments are closed.