Nuestros equipos están constantemente bajo ataque en el momento que los exponemos a internet. El 99.9999% de las veces es un robot que intenta abrir una consola y tomar el control del aparato. Considera que el robot no sabe a que se está conectanto y en la red hay montones de aparatos informáticos con consola y la contraseña por defecto… como Access Point wifi, Cámaras IP principalmente, pero también neveras, lamparas, coches, batidoras, etc… el internet de las cosas sería mejor no usarlo si no tienes el niver para proteger a tus «cosas».
Bueno, pero volvemos al tema. Como vamos a proteger nuestra red interna (LAN) y nuestros servidores expuestos a los rigores de internet?
LA solución simple pero efectiva es juntar el firewall UFW y el sistema de detección automática Fail2Ban
Juntos estos dos programas protegen a un nivel muy alto nuestra red. ASí que vamos a instalarlos:
apt install ufw fail2banNo hace falta instalar estos programas en todos nuestros equipos. Solo en el servidor principal que dirige el tráfico con Traefik. Si estás usando ISPConfig y has seguido las instrucciones de «The Perfect Server…» ya tienes estas dos herramientas instaladas y puedes activar el fierewall desde el panel de control.
En cambio si estás usando Docker y Traefik, tendrás que instalar estos programas.
apt install ufw fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localSi al activar Fail2Ban te da errores en el log (/var/log/fail2ban.log) simplemente reinicia el servidor; no se han cargados unos módulos del kernel.
UFW por defecto está desactivado y se activa con:
ufw enable # No lo hagas aún!!CUIDADO con UFW si usas una conexión al terminal ssh. Si cometes errores te cierra la puerta y no puedes volver a entrar por ssh.
Tendrás que hacerlo conectando un monitor y un teclado al servidor.
Otro sistema (muy bruto) para recuperar la conexión ssh si no tienes un monitor a disposición, es lo de apagar el servidor, sacar la tarjeta SD, conectarla al portátil y editar como root el fichero /etc/init.d/ufw poniendo arriba del todo un «exit 0». Vuelve a poner la SD en la ranura del servidor y enciende lo. Esta vez no puede arrancar UFW y podrás volver a entrar por ssh para arreglar los errores…. que en normalidad es, olvidase de:
ufw allow ssh
ufw allow 2222 # si has cambiado el puerto de sshd con estePara no olvidarse de activar algunos puertos, lo mejor es hacer un escaneo antes de activar el firewall y fail2ban con nmap en otro equipo….
Y no como yo que me olvidado activar el puerto 8100 de icecast y de esta forma nadie pudo escuchar la radio por una semana entera! Y yo sin enterarme!
apt install nmaproot@w1:~# nmap 194.149.223.10
Starting Nmap 7.70 ( https://nmap.org ) at 2021-02-21 21:38 CET
Nmap scan report for 194.149.223.10
Host is up (0.059s latency).
Not shown: 988 filtered ports
PORT STATE SERVICE
80/tcp open http
81/tcp filtred hosts2-ns
443/tcp open https
873/tcp filtred rsync
1080/tcp open socks
2222/tcp open EtherNetIP-1
Nmap done: 1 IP address (1 host up) scanned in 53.87 seconds
entonces en el terminal del servidor:
ufw allow ssh (si tu server usa el puerto 22 por defecto)
ufw allow 80
ufw allow 443
ufw allow 1080
ufw allow 1081
ufw allow 2222
(este último en el caso haya puesto el puerto 2222 al servicio ssh)
Reinicia por si a caso, y luego activa el firewall con
ufw enabley con esto tendrás levantado el firewall y fail2ban
