03 Jul

Manual Bitninja

Compartir

En esta entrada os vamos a explicar que es bitninja y como funcionan sus diferentes módulos.

Bitninja es un software de seguridad que se puede instalar en servidores linux, ya sean servidores cloud o dedicados, y que nos protege de diferentes amenazas en la red. Una de las principales ventajas que tiene bitninja es que se va nutriendo automáticamente de los reportes de ataques y de incidentes de seguridad de las diferentes bases de datos que registran estos hechos, y ademas de los demás servidores de bitninja, lo que permite una actualización mucho mas rápida contra atacantes externos.

Una vez explicado que es, vamos a comprobar como es la administración de bitninja y su interfaz.

En la parte izquierda, tenemos los diferentes apartado que podemos manejar, siendo especialmente importantes: módulos e IP manager.

En el apartado módulos, vamos a ver todos los módulos activados o desactivados de bitninja que podemos gestionar.

 

Hemos resaltado los módulos mas importantes a tener en cuenta, para hacer una breve explicación sobre ellos.

  • En primer lugar tenemos el modulo ip reputation, este módulo es el que se encarga de bloquear conexiones o peticiones de difernetes IPs en base a su reputación. Si una ip esta incluida en alguna lista negra o lista gris, bitninja con este módulo bloqueará esa IP e impedirá que pueda interactuar con nuestro servidor. Este bloqueo, lo lleva a cabo mediante reglas de IPTABLES dinámicas en el sistema.
  • En segundo lugar, tenemos el módulo port honeypot. este es el módulo encargado de detectar ataques en diferentes puertos conocidos. La finalidad de este módulo es servir de señuelo invisible al atacante, con objeto de detectar el ataque antes de que afecte a otros sistemas críticos y poder bloquearlo.
  • El siguiente módulo es el de Dos Detection. El objetivo de este módulo es detectar y bloquear los posibles ataques de denegación de servicio que podamos recibir.
  • Otro módulo con el que cuenta bitninja es el de WAF (web application firewall) este nos ayuda a bloquear ataques a nuestras aplicaciones web, tales como inyecciones de sql, ataques XSS, RFI.
  • Por último, tenemos el módulo de malware detection es un módulo que esta aún en desarrollo y que nos permitirá detectar software o scripts con código malicioso en nuestro servidor.

En el apartado de IP manager. En este apartado podemos añadir o eliminar IPs para que sean bloqueadas o para que no las bloquee.

En el caso de que queramos bloquear una IP la tenemos que añadir a blacklist y si queremos que bitninja no bloquee y permita todo el trafico y conexiones de una IP concreta, la tenemos que añadir a whitelist. Para añadirla basta con hacer clic en add IP to whitelist como se puede ver en la imagen, y rellenar los datos.

En el caso de que queramos conocer el motivo por el que una IP ha sido listada, podemos ir a ip manager >> blacklist y ver los motivos por lo que se ha listado. En el ejemplo que vemos a continuacion, vemos que esta IP ha sido listada por intentos de login fallidos.

Para finalizar, otro apartado importante es el de analyze, donde podemos buscar los incidentes recogidos en nuestro servidor.

 

Temas para WordPress