Seguridad

Un pregunta de un lector en la entrada Hardening de SSL/TLS en servidores HTTPS me llevó a buscar y probar una solución para este problema: cómo predecir el impacto, en los clientes de un sitio Web, al deshabilitar un protocolo inseguro dentro de la configuración de suites de cifrado de TLS.

Este lector en particular, necesitaba saber si alguno de sus clientes se verían afectados al deshabilitar el algoritmo criptográfico de encriptación de flujo RC4, el cual es inseguro (vulnerable a un amplio abanico de ataques y ya sin soporte por los principales navegadores). La solución consiste en lograr que el servidor Web registre en el log de accesos el protocolo y suite de cifrado elegidas durante la negociación (handshake) para cada acceso. De esta forma es posible, luego de un tiempo, determinar si existen cliente que aún utilizan el protocolo/suite de cifrado que deseamos deshabilitar (para mejorar la seguridad).

Han transcurrido más de diez días desde que puse en funcionamiento mi sistema de detección y bloqueo de intrusos, con el cual he podido registrar un elevado número de ataques por día provenientes desde todo tipo de ubicaciones.

Luego de bloquear intentos de acceso a mi sitio Web, se me ocurrió tratar de determinar el país de origen de las direcciones IP de los atacantes.

Existen muchos sitios Web que dan esta información (geolocalización de una dirección IP) de forma gratuita, sin embargo necesitaba una alternativa desde línea de comandos, para poder luego automatizar la conversión de IP a país y sacar una estadística al respecto.

Este artículo explica cómo instalar logwatch en Debian y habilitar el resumen de logs de Nginx en la salida del mismo.

Logwatch es una poderosa y versátil herramienta de análisis forense de logs de servicios (Web, correo, sistema, etc.) Está diseñado para elaborar un reporte unificado de toda la actividad en el servidor para un período determinado (típicamente el último día), el cual puede ser enviado por mail. De esta forma podemos recibir a diario, en nuestra casilla de correo electrónico, un resumen de la actividad sospechosa/anormal del día anterior.

Este es ya el quinto de mi serie de artículos dedicados a Bacula. En esta oportunidad explico cómo instalar el agente de Bacula (file deamon) en un cliente Debian.