Proteja a segurança de seus dados contra ataques de brute force e mantenha seu servidor sempre online contra ataques de negação de serviço utilizando o Iptables, Fail2Ban e Cloudflare

VPS Debian 7 – Protegendo seu VPS de ataques DDoS e Brute Force


Um servidor de qualidade não deve estar preparado apenas para receber um tráfego de qualidade, espere também por ataques e tentativas de invasão e saiba como agir na hora certa para não o seu site derrubado ou até mesmo roubado por outra pessoa.

Existem inúmeros ataques que podem ser realizados contra um site, as vulnerabilidades mais comuns são:

  • VPS desprotegido de Firewall, respondendo a ping e mais vulnerável a DDoS;
  • phpMyAdmin exposto ao público o tempo todo;
  • Nomes de usuários e senhas simples em contas FTP;
  • Permissões incorretas no sistema de arquivo do Linux;
  • Código fonte contendo comandos include() ao invés de require_once();
  • Transferir dados muito sensíveis através de FTP (mesmo com TLS)
  • SSH desprotegido contra ssh-ddos ou brute force.

Estas são apenas algumas das mais comuns vulnerabilidades encontradas em um servidor VPS, e não é difícil encontra-las em ao menos 70% de todos os sites da web, principalmente em hospedagens compartilhadas onde não é possível desativar o acesso ao cPanel e ao phpMyAdmin, ambos ficam expostos 24 horas por dia durante 7 dias da semana, tempo o suficiente para tentativas de bruteforce, mesmo que isso demore, é possível ser invadido desta forma.

Iremos ensinar como trabalhar em cima das vulnerabilidades mais comuns e garantir uma confiabilidade muito maior ao seu sistema.

Entendendo o conceito de DDoS

Um ataque DDoS – Distributed Denial-of-Service attack – é um tipo de ataque onde vários computadores fazem requisições a um servidor, onde estas requisições podem conter pacotes inválidos ou um número de requisições muito altas, fazendo com que seu servidor fique indisponível para o tráfego “bom” enquanto tenta responder todas as solicitações de pacotes inválidos.

Este é o tipo mais comum de ataque, outros tipos podem conter floods em portas UDP e ICMP (como ping), e vulnerabilidades em particular de cada servidor.

Um dos principais problemas dos ataques DDoS é que muitas vezes são computadores pessoais infectados com botnets que estão lhe atacando, o que dificulta saber quem está te atacando, pois o número de computadores pode ser tão alto a ponto de exceder a banda de seu servidor e derruba-lo antes mesmo de chegar em um firewall.

Para deixar claro, não é possível conter ataques DDoS apenas com um firewall, é necessário tecnologia para isso, principalmente antes de chegar em seu servidor. Existem várias empresas que mitigam ataques DDoS, caso o seu caso seja muito grave será necessário investir nisso.

Porém é possível bloquear grande parte dos ataques mais comuns utilizando alguns recursos em seu VPS.

Bloqueando ataques de Flood / DDoS mais comuns

Criamos um script que você poder utilizar ou editar de acordo com seu uso para proteger seu VPS de ataques mais comuns, porém lembre-se que você não estará invulnerável à ataques DDoS, apenas mais seguro dos ataques comuns.

Digite os comandos em seu VPS ou crie um arquivo com a extensão .sh e execute, se fizer o arquivo utilize o nano para não deixar “quebra de linhas” no final do arquivo, o que fará com que seu script não funcione.

Lembre-se que em caso de utilizar outras portas, elas serão bloqueadas, então modifique o script caso necessário.

Bloqueando ataques brute force ao SSH, FTP e DDoS por estas portas

Utilizando o aplicativo fail2ban, podemos proteger nossas portas FTP e SSH contra brute force e DDoS.

Para quem ainda não está familiarizado (ainda bem!) com este tipo de ataque, ele consiste em um bot/software que ao encontrar uma área cujo é possível tentar realizar autentificação através de usuário e senha, inicia uma tentativa de login ininterrupta até conseguir, tentando senhas e usuários mais comuns, ou até mesmo números aleatórios.

Vamos supor que alguém encontre seu servidor, seu usuário é ftp@site.com.br e sua senha meuftp, dependendo do algorítimo utilizado no software, ele poderia conseguir fazer login após 2.478.195.720 tentativas, pode ser um número absurdo e você pode até pensar que isso é impossível, porém na pior das possibilidades o software pode conseguir em apenas 1/3 deste número.

Sem uma proteção, você acaba permitindo que alguém fique por durante semanas tentando realizar um login indevido, sem prestar atenção aos logs você acaba por descuidar e deixar uma grande brecha de segurança.

Com o aplicativo fail2ban instalado e configurado você consegue evitar este tipo de ataque, pois ele ficará observando cada log de erro e descartando conexões maliciosas.

Para instalar digite:

Agora vamos configurar o aplicativo para bloquear as principais vulnerabilidades. Copie o arquivo de configuração para o arquivo que será executado.

Agora edite o arquivo jail.local.

Localize as sessões ssh, ssh-ddos e proftpd e coloque true em enabled de cada uma delas.

Agora reinicie o serviço

Agora você já estará mais protegido.

Contendo grandes ataques pelo Cloudflare

cloud-flare

Já citamos o Cloudflare no começo do tutorial, além de melhorar o desempenho de seu site ele também possuí funções para bloquear ataques DDoS, veja como funciona o Cloudflare.

Escolha um VPS que faz mitigação de DDoS

Além de todas essas barreiras, um servidor VPS que faz a mitigação de DDoS para você pode ser um fator que muda tudo, já que você estará protegido também por profissionais que poderão intervir por você em casos mais complexos de DDoS. A Host1Plus é uma das melhores empresas para VPS e também conta com DDoS.

Com estas opções de segurança, você terá um VPS mais seguro, mas lembre-se de nunca descuidar!

VPS Debian 7 – Índice

Introdução – Criando e configurando uma hospedagem VPS completa
Capítulo 1 – Configurando o acesso SSH
Capítulo 2 – Configurando um servidor FTP
Capítulo 3 – Instalação do Apache2 e criação de Virtual Hosts
Capítulo 4 – Instalação e configuração do PHP5
Capítulo 5 – Instalando o MySQL e phpMyAdmin
Capítulo 6 – Protegendo seu VPS de ataques DDoS e bruteforce


Renan Cavalieri
Postado por
Em maio 21, 2015 as 9:25 am

Faça seu comentário

Comente sobre o artigo, sua opinião é muito importante para nós!

  • Douglas José Diel

    Olha, fui tentar colocar o fail2ban e aconteceu que instalei e reiniciei, ia configurar ele depois de reiniciar só que ele fechou minha conexão com a porta 22, fiquei sem conseguir acessar a vps via terminal, só deu certo no navegador. É assim mesmo?

  • Jeferson Gil

    este script está correto mesmo ? no começo vc libera tudo e depois bloqueia então não fica valendo somente a primeira ?

    • http://www.tecdicas.com/ Renan Cavalieri

      Sim, está correto. Primeiro você limpa todas as regras, libera o que você irá precisar e então tudo que não bater com as regras permitidas será descartado. É assim que funciona o iptables. Tente rodar um servidor ftp e usar esse script e não criar uma regra para permitir as portas do ftp, logo então tente se conectar e veja o resultado. Se conseguir, revise o que você fez, pois não conseguirá se fizer tudo certo.

      • Jeferson Gil

        ok, estou editando pro meu game server, mas quando reinicio meu vps não consigo acessar mais ssh nem nada, uso centos 7 minimal estou com floods udp pq a latência do servidor fica alta depois de alguns minutos todos perdem a conexao e o ping volta ao normal mas o servidor continua lá no mesmo mapa e tal, um reset em todos clientes é isso que acontece

        • http://www.tecdicas.com/ Renan Cavalieri

          Iptables não segura floods desse tipo. Você vai precisar de um host com esse tipo de proteção.

          • Jeferson Gil

            ok valeu.

          • http://www.tecdicas.com/ Renan Cavalieri

            A respeito de você não conseguir entrar em seu VPS quando o host é resetado, é devido ao CentOS não salvar as regras de firewall assim como o Debian. Não me lembro exatamente como funciona o iptables no CentOS.

            Uma recomendação que eu te dou, é buscar um host com proteção a DDoS mais robusta, eu tenho um servidor de Team Fortress 2 rodando na Maxihost à aproximadamente 1 ano, nunca mais tive problemas com DDoS e nem floods, e meu servidor já sofreu bastante, pois já recebi mais de 17.000 jogadores nele e devido a sua popularidade, alguns servidores concorrentes não gostam muito, rs.

            Iptables funciona somente no caso de alguns floods, mas que na maioria das vezes são “tcp”, ele é mais utilizado para garantir a segurança do seu servidor no sentido de ataques de penetração, para servidores de jogos ele não é muito útil, devido as conexões serem UDP e requisitarem grande troca de informação em pouco período de tempo, o que pode atrapalhar na hora da filtragem das conexões flood vs legíveis.

            Na Maxihost você pode conversar com eles e dizer o seu problema, irão fazer um teste com os filtros, se a sua conexão ficar instável, você pode pedir para eles reduzirem o threshold do filtro, até que fique 100%, e assim não terá problemas com DDoS e nem host.

            Caso queira conferir os serviços deles, acesse a url: http://goo.gl/4WqGNf
            Outra dica que eu te dou é instalar o tshark no seu sistema para monitorar os ataques, você pode ver todos os endereços IP, e os pacotes que estão sendo enviados, isso inclui os legíveis, porém pode ter certeza os flood serão a maioria absoluta, ficando fácil de identificar.

            Você pode ter mais informações aqui: http://linoxide.com/how-tos/howto-install-wireshark-on-linux/