¿Qué es Fail2Ban?

Se trata de una aplicación disponible en paneles de control Plesk con sistema operativo Linux que monitoriza los accesos a los distintos servicios (SSH, FTP; Correo, etc.) en busca de errores de autenticación. Su función es prevenir la intrusión por fuerza bruta y su cometido es protegerte.


¿Cómo actúa Fail2Ban?

La aplicación bloquea la IP desde la que se producen los errores de autenticación. Esto impide el acceso a cualquier servicio que esté funcionando en el sitio en el que se están produciendo los errores de autenticación (Correo, Web, FTP, SSH, etc.).


¿Cuánto dura el bloqueo que realiza el sistema de protección Fail2Ban?

De forma genérica tiene dos niveles de protección que pueden variar ligeramente en cada caso.

  • Primer nivel de protección: Si se detectan 5 errores consecutivos, el sistema bloquea la IP desde la que se producen las conexiones erróneas durante 10 minutos.
  • Segundo nivel de protección: Si el patrón anterior se reproduce 5 o más veces, el sistema bloquea la IP desde la que se producen las conexiones erróneas durante una semana.


¿Quién o qué puede estar provocando el bloqueo de Fail2Ban?

Dos son los escenarios más comunes:

  • El usuario de uno de los servicios (Correo, FTP, Web, SSH) comete un error al introducir usuario o contraseña.
  • Se ha completado el cambio en las credenciales de acceso de uno de los servicios (Correo, FTP, Web, SSH) y alguno de los terminales y programas configurados por el usuario no ha sido actualizado con los nuevos datos (PC, Móvil, Tablet).

Adicionalmente, existe uno menos frecuente, pero posible, que es:

  • Intento de acceso mediante fuerza bruta.


¿Qué es un intento de acceso por fuerza bruta?

Los ataques de fuerza bruta o bruteforce son un tipo de ataque en el cual, se van probando de forma reiterada diferentes combinaciones de usuario y contraseña a un determinado servicio, por ejemplo una cuenta de correo, webmail, un sitio web o cualquier otro servicio.


En el caso de no limitar estos accesos, las peticiones de inicio de sesión se irán procesando hasta que, en el peor de los casos, los usuarios malintencionados acaben dando con los datos de login correctos y puedan hacer sus fechorías.