080 | Clásico de protección contra ataques de fuerza bruta de contraseñas: Fail2ban

Introducción: Protección del servidor — primera línea de defensa

Después de desplegar cualquier servidor o máquina virtual, uno de los primeros y más importantes pasos es asegurarla. Incluso si tu servidor no contiene datos críticos, puede convertirse en objetivo de bots automáticos que constantemente escanean Internet en busca de vulnerabilidades. El ataque más común contra cualquier servidor es el intento de adivinación de contraseñas —ataques de fuerza bruta (brute-force)— contra el acceso SSH, servicios FTP o paneles de control web.

Para combatir esta amenaza existen muchas herramientas, y una de las más conocidas, sencillas y eficaces es Fail2ban.

¿Qué es Fail2ban y cómo funciona?

Fail2ban es un framework de código abierto escrito en Python para la prevención de intrusiones. Su propósito es escanear los archivos de registro (logs) del servidor, identificar direcciones IP sospechosas que realizan demasiados intentos fallidos de inicio de sesión y bloquearlas temporalmente.

La lógica de funcionamiento de Fail2ban es bastante simple y consta de tres componentes principales:

1. Filtros (Filters): Son expresiones regulares que Fail2ban utiliza para analizar los logs. Buscan líneas que correspondan a intentos fallidos de inicio de sesión. Por ejemplo, para un servidor SSH el filtro buscará en el archivo /var/log/auth.log líneas del tipo "Failed password for...".
2. Cárceles (Jails): Es un conjunto de reglas que vincula un filtro con una acción determinada. La “cárcel” para el servidor SSH utilizará el filtro de SSH y ejecutará la acción de bloqueo de la dirección IP.
3. Acciones (Actions): Son los comandos que se ejecutan al detectar actividad sospechosa. Es aquí donde Fail2ban interactúa con el cortafuegos para realizar el bloqueo real.

Fail2ban y cortafuegos: iptables vs. nftables

Para bloquear temporalmente una IP, Fail2ban debe modificar las reglas del firewall del sistema operativo. Históricamente Fail2ban estuvo estrechamente integrado con iptables, pero en las distribuciones modernas de Linux nftables está cobrando cada vez más importancia.

• iptables (enfoque clásico): iptables es la herramienta tradicional para gestionar el firewall en Linux. Fail2ban, por defecto, usa iptables para añadir reglas temporales que prohíben el acceso desde direcciones IP sospechosas. Por ejemplo, puede añadir una regla que descarte (DROP) todo el tráfico proveniente de una IP bloqueada hacia el puerto 22 (SSH). Es una solución fiable y probada por el tiempo.

• nftables (enfoque moderno): nftables es el reemplazo moderno, más flexible y eficiente de iptables. Tiene una sintaxis más unificada y permite modificar reglas dinámicamente sin reiniciar todo el firewall. Fail2ban soporta completamente nftables, y para instalaciones nuevas se considera la opción preferida. En la configuración de Fail2ban se puede indicar qué backend —iptables o nftables— debe usarse para el bloqueo.

Ventajas de Fail2ban

• Sencillez y fiabilidad: Fail2ban es fácil de instalar y configurar. Para la mayoría de servicios populares (SSH, Nginx, Apache, Postfix) ya existen filtros y “cárceles” disponibles, lo que lo convierte en una solución prácticamente “plug-and-play”.
• Eficacia: Para su tarea principal —proteger contra ataques de fuerza bruta— Fail2ban es muy eficaz. Responde de forma instantánea a los intentos de adivinación de contraseñas, reduciendo significativamente la carga en el servidor y aumentando la seguridad.
• Consumo mínimo de recursos: Fail2ban funciona en segundo plano, consumiendo muy poca memoria RAM y CPU, lo que lo hace ideal para servidores pequeños y VPS.
• Flexibilidad: Puedes crear filtros personalizados para cualquier aplicación que genere logs. Esto permite proteger incluso servicios no estándar.

Desventajas y limitaciones de Fail2ban

• Funciona solo con logs: Fail2ban no analiza el tráfico en tiempo real. Reacciona a los eventos solo después de que se han registrado en un archivo de log. Esto puede introducir una pequeña latencia.
• Protección contra ataques simples: Fail2ban es excelente contra ataques simples y repetitivos, pero es ineficaz frente a ataques distribuidos más complejos, donde los atacantes utilizan multitud de direcciones IP.
• Falta de análisis centralizado: Fail2ban opera localmente en cada servidor. No “sabe” lo que ocurre en otros servidores tuyos o en Internet en general, y no puede intercambiar información sobre amenazas con otras máquinas.

Conclusión

Fail2ban es una herramienta básica y obligatoria para cualquier servidor. Su sencillez, eficacia y bajos requisitos de recursos la convierten en la primera línea de defensa ideal. Es muy buena protegiendo contra los ataques de fuerza bruta más comunes, aprovechando iptables o nftables.

Sin embargo, para construir un sistema de seguridad más robusto y moderno, especialmente frente a amenazas distribuidas, se necesitan herramientas más avanzadas. En el siguiente artículo hablaremos de una herramienta que utiliza un enfoque de seguridad basado en crowdsourcing: CrowdSec.