SSHGuard: Una herramienta para proteger diferentes servicios de ataques por fuerza bruta

Share this…

Para una buena administración de los sistemas informáticos es fundamental monitorizar los logs de los diferentes servicios para detectar posibles ataques. SSHGuard es una herramienta que nos va a permitir monitorizar los logs del servidor SSH y de otros servicios muy populares, gracias a SSHGuard podremos monitorizar los logs, detectar ataques y bloquear a los atacantes utilizando el cortafuegos del sistema operativo, y todo ello de manera automática.

¿Qué es y para qué sirve SSHGuard?

SSHGuard es un software que se encargará de monitorizar los logs en diferentes formatos y también de diferentes servicios. Esta herramienta es capaz de reconocer los logs en diferentes formatos, entre los que tenemos:

  • macOS
  • metalog
  • multilog
  • raw log files
  • syslog
  • syslog-ng
  • systemd journal

Los servicios compatibles con SSHGuard son los más conocidos en el mundo de la administración de sistemas, aunque en un principio solo era compatible con el servidor SSH OpenSSH, actualmente tenemos disponibles más servicios muy populares. A continuación, podéis ver todo el listado de servicios:

  • OpenSSH (Servidor SSH)
  • Sendmail (Servidor de correo)
  • Exim (Servidor de correo)
  • Dovecot (Servidor de correo)
  • Cucipop (Servidor de correo)
  • UWimap (Servidor de correo)
  • vsftpd (Servidor FTP/FTPES)
  • proftpd (Servidor FTP/FTPES)
  • pure-ftpd (Servidor FTP/FTPES)
  • FreeBSD ftpd (Servidor FTP/FTPES)

Como hemos explicado anteriormente, este software es capaz de leer los diferentes tipos de logs de diferentes servicios en el sistema, y de manera automática detectará y bloqueará dichos ataques utilizando el cortafuegos del sistema operativo. SSHGuard es compatible con los siguientes cortafuegos de sistemas basados en Unix y Linux:

  • FirewallD
  • ipfw
  • IPFILTER
  • netfilter/iptables
  • netfilter/ipset
  • PF
  • tcpd’s hosts.allow
  • IBM AIX’s firewall

Algunas características muy interesantes es que por ejemplo permite crear una lista negra de direcciones IP automáticamente, también es capaz de supervisar varios archivos de registro simultáneamente y tiene soporte completo con el protocolo de red IPv6.

Instalación y puesta en marcha de SSHGuard

Esta herramienta está de manera predeterminada en los principales repositorios de software de Debian, ArchLinux, FreeBSD, OpenSUSE, Ubuntu y otras muchas distribuciones basadas en Unix y Linux, por lo que la instalación se debe realizar a través del gestor de paquetes de tu distribución. Otra opción es compilar este software por ti mismo y posteriormente instalarlo en el sistema operativo, puedes encontrar las instrucciones de la instalación en la sección de descargas.

Para la puesta en marcha de SSHGuard lo primero que debes configurar es el sistema de logs en tu servidor, para hacerlo tenemos una magnífica documentación en la web oficial del software. Después tendrás que configurar ciertos parámetros en el firewall, para que SSHGuard sea capaz de bloquear las direcciones IP de los posibles atacantes que tengamos.

Os recomendamos acceder a la página web oficial del proyecto SSHGuard donde encontraréis toda la información sobre esta magnífica herramienta. En nuestra sección de redes y seguridad informática tenéis manuales muy interesantes sobre cómo proteger vuestra red y también vuestros servidores.