cPHulk Brute Force Protection – Protección cPHulk contra fuerza bruta

Para la versión 11.28 de WHM

(WHM >> Security Center >> cPHulk for Brute Force Protection)

Un ataque (o hack) de fuerza bruta (brute force attack) es un método que usa un sistema automatizado para adivinar la contraseña de su servidor o servicios web. cPHulk provee protección contra ataques de fuerza bruta.

Configuration Settings

Para comenzar a usar cPHulk:

  1. Pulse Enable para activar.
  2. Seleccione la pestaña Configuration Settings.
  3. En el primer campo, defina el número de minutos que usted quiere bloquear un IP remoto cuando llega al límite de fallas.
  4. En el segundo campo, defina el número de minutos que usted quiere bloquear una cuenta cuando llega al límite de fallas.
    • Tenga cuidado cuando configura este límite, ya que su efecto neto es prevenir que nadie acceda esa cuenta, hasta el usuario al que le pertenece.
  5. Defina el límite de fallas para las cuentas en el tercer campo.
  6. Defina el número de veces que una dirección de IP específica puede fallar antes de que se bloquee.
  7. Defina el límite de fallas antes de que se bloquee el IP por un periodo de dos semanas en el quinto campo.
  8. Use las casillas para determinar:
    • Si recibirá notificaciones al obtener un inicio de sesión exitoso de root cuando el IP no está en una lista blanca.
    • Si extenderá el tiempo de bloqueo para cada falla adicional que sobrepasa el límite.
    • Si recibirá notificaciones cuando se detecta un ataque de fuerza bruta.
  9. Pulse Save para guardar.
    • note ¡Ojo!: UseDNS está activado por predeterminación en el archivo /etc/ssh/sshd_config de su servidor. UseDNS envía el hostname a PAM para autenticar la sesión de SSH. cPHulk también solicita información de autenticación de PAM cuando determina si un intento de inicio de sesión es un ataque de fuerza bruta. Si UseDNS aún está activado, crea un problema en la característica Trusted IPs List de cPHulk. Esto permite que un atacante use un spoof de un registro de apuntador de DNS para hacerse pasar por un hostname de confianza. Esto le da al atacante intentos ilimitados para entrar al sistema, lo que permite un ataque de fuerza bruta. Por ende, el uso de UseDNS se desactiva si se activa cPHulk.

White/Black List Management – Administración de lista blanca/negra

cPHulk también provee una lista de los IP de confianza (lista blanca) y una lista de los IP rechazados (lista negra). La Trusted IP List especifica direcciones de IP que cPHulk nunca evitará que accedan su servidor. La Rejected IP List especifica direcciones de IP que cPHulk siempre evitará que accedan su servidor.

Para añadir rápidamente un IP a la lista blanca o negra:

  1. Seleccione la pestaña White/Black List Management.
  2. Escriba el IP en el campo Entry bajo la lista apropiada.
  3. Pulse Quick Add a la derecha de la entrada.

Para editar la lista blanca o negra:

  1. Seleccione la pestaña White/Black List Management.
  2. Pulse Edit Whitelist o Edit Blacklist.
  3. Edite las direcciones de IP en el campo de texto.
  4. Pulse save para guardar.

Login/Brute History Report – Reporte Login/Brute History

cPHulk guarda los intentos fallidos de inicio de sesión en una base de datos. Esto es útil para determinar las direcciones de IP problemáticas cuyo acceso a su servidor tal vez tenga que bloquear completamente. Sin embargo, la base de datos debe vaciarse de vez en cuando para conservar los recursos del sistema o permitirle a un usuario que ha olvidado una contraseña entrar nuevamente a su cuenta. Puede vaciar la base de datos al pulsar Flush DB.

La información de la base de datos se guarda en dos listas bajo la pestaña Login/Brute History Report. La primera lista contiene inicios de sesión fallidos. Estos intentos de entrada al sistema se pueden guardar si, por ejemplo, un usuario de cPanel escribe su contraseña incorrectamente. La segunda lista contiene intentos fallidos de inicio de sesión excesivos. Usted debe monitorizar ambas de estas listas para encontrar direcciones de IP y cuentas que deben ser bloqueadas.

Fixing a Lockout – Encontrar un bloqueo

En caso de que cPHulk le haya bloqueado fuera de su servidor, ejecute el siguiente script por WHM: /scripts2/doautofixer?autofix=disable_cphulkd

  • Ejemplo: escriba la siguiente línea en la barra de direcciones de su navegador: https://www.ejemplo.com:2087/scripts2/doautofixer?autofix=disable_cphulkd

Topic revision: r6 - 08 Jun 2011 - 16:54:38 - Main.RosieArcelay