Sobre seguridad Cosas sobre seguridad, firewall, permisos y sistemas de defensa Autounblock para desbloquear IP bloqueadas Seguridad y el servidor no funciona Muchas veces llegan a soporte tickets sobre problemas de acceso a los servicios. En la cabecera del ticket, la frases típicas. "El servidor no funciona" "No puedo acceder" "Ya estamos con problemas..." El 99% de las veces se trata de un bloqueo de la IP del cliente poor algún motivo derivado del mal uso de las credenciales y/o por cuestión del sistema de seguridad Web. En estos casos, el servidor funcioan, esta operativo para todo el mundo excepto para la IP desde la que se produjo el incidente, que esta bloqueada, o biend e forma temporal, o bien de forma permanente, según las acciones que producjeron el bloqueo de dicha IP. Autounblock Para poder conocer si estamos sujetos a este problema hemos habilitado un sitio, llamado unblock.castris.com en el que el usuario puede conocer y en su caso desbloquear la ip. Además conocedores de que el problema persistira, la ip estará en lista blanca durante 8 horas, tiempo suficiente para que en caso de ser necesario, el técnico de servicio pueda responder al problema. El usuario recibirá un informe, detallado por eemail con los motivos del bloqueo. Desbloquear, y no actuar para solventar el problema, es lo mismo que ha ocurrido para llegar al bloqueo. Insisitri una y otra vez, en hacer caso omiso de los mensajes que emiten programas de correo, de ftp y navegadores, es el camino a ser bloqueados de forma continua. Descargo Muchas veces hemos perdido clientes porque han sido incapaces de entender la cuestión de la seguridad, sobre todo la que se recibe de ModSecurity, responsable de evitar el 90% de los hackeos de páginas web. Pero no nos importa. La seguridad del cliente y la seguridad global de cada servidor son nuestra principal preocupación. ModSecurity necesita muchas veces, un ajuste fino con algunos sitios web, en grabn medida, porque el software que usan, es muy deficitario, pero es el que mas se usa, y por tanto, el que más atacan. Brute Force Manager BFM (Brute Force Monitor) de DirectAdmin Explicado para usuarios no técnicos ¿Qué es el BFM? El BFM es el sistema de seguridad integrado en DirectAdmin que vigila, cuenta y bloquea intentos de acceso fallidos a: Panel de control (puerto 2222) Cuentas de correo (IMAP/POP/SMTP) FTP / SFTP SSH Aplicaciones web comunes (por ejemplo, WordPress) Cuando detecta demasiados fallos desde una misma IP (o contra un mismo usuario) la bloquea automáticamente durante un tiempo, o la envía al cortafuegos para bloqueo permanente. ¿Cómo cuenta los intentos? Parámetro Lo que controla Valor típico brutecount Máximo de intentos fallidos antes de bloquear la IP 20 user_brutecount Máximo de intentos fallidos contra un mismo usuario 20 brute_dos_count Peticiones repetidas a la página de login del panel (DoS) 100 Los límites se ajustan en Admin Level → Admin Settings → pestaña Security . Picos frecuentes de intentos Panel de control : bots que prueban contraseñas de admin Correo : diccionarios contra cuentas populares ( info@ , admin@ …) WordPress : ataques a wp-login.php (activar la opción Scan for WordPress attacks en BFM) Qué pasa al superar el límite La IP se añade a /usr/local/directadmin/data/admin/ip_blacklist . (Opcional) Si está activado el enlace con CSF/LFD, la IP se bloquea a nivel de cortafuegos y no puede volver a conectarse. Buenas prácticas recomendadas Mantener brutecount ≤ 20 para cortar diccionarios rápidos Contraseñas fuertes : el BFM bloquea, pero una clave robusta evita ataques exitosos Revisar BFM a diario : decide si alguna IP debe desbloquearse Activar “Scan WordPress attacks” si se usan sitios WordPress Resumen El BFM es un vigilante automático : cuenta intentos, detecta patrones de ataque y bloquea al agresor antes de que entre. Con límites bien ajustados y revisiones periódicas, mantenemos el servidor protegido sin afectar a los usuarios legítimos. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . CSF Configserver Firewall CSF: ConfigServer Security & Firewall Guía básica para usuarios no técnicos ¿Qué es CSF? CSF ( ConfigServer Security & Firewall ) es un cortafuegos avanzado para servidores Linux. Funciona como una capa de protección que filtra conexiones, limita ataques y bloquea IPs maliciosas. Componentes clave iptables / nftables : motor de filtrado de red en Linux LFD (Login Failure Daemon) : demonio que vigila logs y detecta intentos de acceso fallidos Integra con paneles como DirectAdmin, cPanel, Plesk ¿Cómo protege el servidor? Filtrado de puertos Solo permite los puertos necesarios (ej. 22, 80, 443, 2222). Detección de fuerza bruta (LFD) Cuenta intentos fallidos de SSH, FTP, correo, panel, etc. Si se supera el límite (p. ej. 10 fallos en 5 min), la IP se bloquea. Alertas por e-mail Envía notificaciones cuando bloquea o detecta actividad sospechosa. Rate limiting Limita conexiones simultáneas y velocidad (DoS ligero). Listas blanca / negra IPs de confianza ( csf.allow ) IPs bloqueadas permanentemente ( csf.deny ) Archivos y comandos principales Archivo / Comando Descripción /etc/csf/csf.conf Archivo de configuración principal /etc/csf/csf.allow Lista blanca de IPs (permitir) /etc/csf/csf.deny Lista negra de IPs (bloquear) csf -r Reiniciar CSF (aplica cambios) csf -d IP Bloquear IP manualmente csf -a IP Añadir IP a lista blanca csf -g IP Buscar IP en todas las listas Parámetros importantes (csf.conf) Opción Qué hace Valor recomendado TCP_IN Puertos TCP permitidos de entrada 22,80,443,2222 TCP_OUT Puertos TCP permitidos de salida 80,443,53 LF_TRIGGER Nº de bloqueos antes de alerta 5 LF_SSHD Intentos fallidos SSH antes de bloqueo 5 CONNLIMIT Límite de conexiones simultáneas por IP 80;20 (20 conexiones al puerto 80) Nota: Ajustar estos valores según tus servicios y nivel de riesgo. Relación CSF ↔️ BFM (DirectAdmin) BFM detecta intentos fallidos en DirectAdmin y puede pasar la IP a CSF. CSF/LFD bloquea a nivel de red, impidiendo cualquier conexión desde esa IP. Buenas prácticas Mantener CSF y el sistema actualizados Revisar las alertas : identificar falsos positivos o ataques reales No abrir puertos innecesarios Usar listas blanca para IPs fijas (oficina, hogar) Verificar logs de LFD: /var/log/lfd.log Resumen CSF + LFD actúan como muralla de defensa : Bloquean puertos no usados Detienen ataques de fuerza bruta Alertan al admin en tiempo real Se integran con DirectAdmin para protección adicional Configurado correctamente, CSF mantiene el servidor seguro con un impacto mínimo en los usuarios legítimos. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Logs Servidor Correo Detección temprana de reenvíos no autorizados y spam 1. ¿Qué es un reenvío no autorizado? Un reenvío no autorizado (open relay) ocurre cuando un atacante usa nuestro servidor SMTP para mandar correos (normalmente spam o phishing) sin autenticación válida. Riesgo Consecuencia Spam enviado desde nuestra IP Listas negras (RBL), correos legítimos bloqueados Phishing o malware Pérdida de confianza de usuarios y clientes Sobrecarga de recursos CPU, ancho de banda y almacenamiento saturados Problemas legales Posibles sanciones por incumplir normativas anti-spam 3. Qué revelan los logs Volumen inusual de mensajes : picos que indican un robot o script. Fallos de autenticación repetidos : intentos de forzar contraseñas. IPs desconocidas enviando correo : posible exploiter de credenciales. Bloqueos externos (RBL) : rebotes con errores 550/451 apuntando a spam. 4. Beneficios de un monitoreo constante Reacción temprana : se bloquea la actividad antes de que sea masiva. Reputación protegida : menos riesgo de terminar en listas negras. Visibilidad : se identifican usuarios o scripts mal configurados. Cumplimiento : ayuda a demostrar buenas prácticas anti-spam. 5. Flujo de detección (conceptual) Rotación diaria de logs. Revisión automática para buscar patrones sospechosos. Alerta al administrador si se supera un umbral. Acción : bloqueo temporal de IP/cuenta y análisis manual. Resultado: el servidor permanece limpio y los correos legítimos llegan a destino. 6. Conclusión Supervisar los registros de Exim no es un lujo, sino una medida esencial de higiene y reputación . Permite detectar uso indebido, evitar bloqueos globales y garantizar que el correo de la organización siga siendo confiable. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Logs Dovecot Beneficios para usuarios finales y atención al cliente 1. ¿Qué es Dovecot? Dovecot es el servicio que gestiona la lectura de correo en el servidor (IMAP y POP3). Cuando abres tu buzón desde móvil, Outlook o webmail, hablas con Dovecot. 2. ¿Qué problemas detectan sus logs? Situación Cómo se refleja en los logs Por qué te importa Contraseña incorrecta (olvidada, cambiada) Repetidos intentos fallidos de inicio de sesión Evita bloqueos de la cuenta y restablece la clave a tiempo Cuentas hackeadas Inicios de sesión desde países/IPs inesperados Permite forzar cambio de clave antes de que lean tu correo Buzón lleno Mensajes “quota exceeded” Sabes que debes limpiar correos antiguos o ampliar espacio Errores de conexión (cliente mal configurado) Desconexiones frecuentes, time-outs Soporte puede guiarte para reconfigurar el cliente Filtros mal puestos Correos se mueven a carpetas inesperadas Diagnostica reglas que archivan o marcan mensajes 3. Beneficios directos para el usuario Correo disponible y sin sorpresas : los problemas se detectan y corrigen rápido. Seguridad : acceso sospechoso → alerta temprana → contraseña cambiada → tu privacidad intacta. Menos tickets repetitivos : el soporte identifica la causa en segundos. Experiencia fluida : menos “¿dónde está mi correo?” o “¿por qué me pide la clave otra vez?”. 4. Flujo de acción orientado al usuario Monitoreo automático : el sistema marca patrones irregulares. Notificación interna al equipo de soporte. Soporte proactivo : antes de que notes el fallo, recibes ayuda o un aviso. Cuestiones resueltas : tu buzón vuelve a la normalidad. “Nuestro objetivo es que jamás pierdas un mensaje ni veas tu cuenta comprometida.” 5. Conclusión Revisar los logs de Dovecot permite garantizar que tu correo siempre llegue, sea seguro y esté disponible . No necesitas saber de comandos ni configuraciones: basta con entender que, gracias a ese seguimiento, tu equipo de soporte actúa antes de que el problema te afecte. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Mod Security Logs ModSecurity Por qué NO conviene “desactivar reglas globalmente” y cómo beneficia al servidor 1. ¿Qué es ModSecurity? ModSecurity (o ModSec ) es un cortafuegos de aplicaciones web (WAF) que inspecciona cada petición HTTP antes de que llegue a tu sitio. Detecta patrones de ataque (SQL-Injection, XSS, bots, etc.) y puede bloquear o registrar la petición. 2. Resultados reales en Castris Con una instalación robusta y una depuración progresiva de falsos positivos (por usuario, URL y software), el número de hackeos ha descendido a niveles que no veíamos desde 2001 . En otras palabras, cada regla bien ajustada = un intento de intrusión menos . 3. El error habitual: “Rule desactivada globalmente” Mito Realidad “Si una regla salta como falso positivo, quítala para todos.” Esa regla puede seguir bloqueando ataques en otras webs e incluso al usuio que se quejo de esa regla. Desactivarla globalmente abre un agujero innecesario. 4. Cómo gestionar falsos positivos de forma responsable Identificar el caso concreto (URL, usuario, software). Revisar el log de ModSecurity : ver la ID de la regla que se dispara. Excluir la regla solo para ese contexto (ubicación, dominio, etc.). Documentar la exclusión para futuras auditorías. Esto se traduce en: Regla madura + exclusión localizada → Seguridad intacta y cero molestias para el usuario legítimo. 5. Beneficios de esta metodología Menos hackeos : reglas útiles siguen activas para el resto del servidor. Soporte eficiente : el equipo sabe dónde y por qué se excluyó. Historial limpio : facilita nuevos ajustes sin “parches” confusos. Confianza del usuario : menos falsos bloqueos y sitio más seguro. 6. Conclusión Desactivar reglas globalmente es una “solución rápida” que socava la seguridad . Con un proceso de revisión puntual y controlado: Se mantiene la protección integral de ModSecurity . El usuario final navega sin bloqueos injustificados. El equipo de soporte puede rastrear, justificar y revertir cualquier cambio. Respetar las reglas = proteger el servidor y la reputación del proyecto. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional .