(Este artículo es una traducción al español del artículo publicado en el blog de cPanel. Encontraréis un enlace al texto original al final del mismo)

Una de las grandes novedadedes de EasyApache 4 a finales de 2017 es la inclusión de mod_evasive como módulo a instalar desde la interfaz EasyApache 4 o con yum install ea-apache24-mod_evasive en la línea de comandos. Desde CanarCloud recomendamos el uso de esta opción debido a las mejoras de seguridad que proporciona en su interacción con otros sistemas de seguridad.

¿Qué es mod_evasive?

El módulo mod_evasive de Apache ayuda a proteger su servidor contra DoS, DDoS y ataques de fuerza bruta. También actúa como una herramienta de detección, y puede configurarlo para comunicarse con iptables, firewalls y routers, entre otras cosas.

Este módulo funciona bien para ataques contra un único servidor, ataques distribuidos y ataques de fuerza bruta. Y, si se integra con su firewall o filtro de IP, puede llegar a soportar incluso grandes ataques. Es por esto, que para la mejor protección, debe integrarse con sus firewalls y routers.

Si su infraestructura no puede defenderse de otros tipos de ataques DoS, este módulo solo ayudará a los límites de su ancho de banda total o la capacidad del servidor para devolver errores 403.

¿Como actúa?

El módulo mod_evasive de Apache crea una tabla hash interna y dinámica de direcciones IP y URI, y niega el acceso a cualquier dirección IP que haga lo siguiente:

  • Solicitar la misma página demasiadas veces por segundo
  • Realiza más de 50 solicitudes simultáneas en el mismo proceso child por segundo.
  • Hace cualquier solicitud mientras se encuentra en una blacklist temporalmente

El módulo crea una instancia para cada oyente, asegurando un mecanismo de limpieza integrado y una buena escalabilidad. Debido a esto, rara vez captará una solicitud legítima, incluso si un usuario hace clic repetidamente en recargar.

¿Cómo detengo un ataque?

Entonces, ¿qué hacer si es el objetivo de un ataque DoS? En un ataque DoS, un atacante puede solicitar una URL de su servidor tantas veces como sea posible para intentar causar problemas y, si el número de solicitudes es lo bastante alto, su servidor web puede dejar de responder. Por lo que el primer paso consiste en la instalación del módulo.

La configuración predeterminada proporcionada por cPanel & WHM bloqueará la mayoría de los ataques sin ningún cambio de configuración adicional. La respuesta del servidor a esos atacantes cambiará a 403 forbidden. Esto significa que mod_evasive detectó y bloqueó el ataque antes de que tu sistema procesara la solicitud. En los error log de apache aparecerá una entrada como la que se ve a continuación

client denied by server configuration

Mientras que en /var/log/messages verá un mensaje similar al siguiente:

localhost mod_evasive[2635]: Blacklisting address X.X.X.X: possible DoS attack.

la blacklist de mod_evasive no dura para siempre,  aunque permita configurar el tiempo de bloqueo, pero bloqueará las IP maliciosas el tiempo suficiente como para detener el ataque. Ajuste la directiva DOSBlockingPeriod en el archivo de configuración mod_evasive para ajustar cuánto tiempo bloquear esos ataques.

¿Y ahora qué?

Si desea instalar mod_evasive, puede instalarlo en la sección Apache Modules de la interfaz EasyPapa 4 de WHM (WHM >> Home >> Software >> EasyApache 4), o puede instalarlo en la línea de comando con yum install ea-apache24-mod_evasive.

Para obtener más información, incluidos todos los detalles de configuración, lea la documentación de mod_evasive proporcionada por cPanel en el siguiente enlace

Fuente: https://blog.cpanel.com/blocking-attacks-with-easyapache-4s-mod_evasive/

Obtenga toda la información acerca de cPanel de CanarCloud:

Más información sobre cPanel

enero 5th, 2018

Posted In: cPanel, Productos, Recomendaciones y Actualizaciones

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.