La lista negra de AbuseIPDB es una gran herramienta que nos permite conocer cuales son los clientes que más reportes de abuso han tenido. Si usamos esto a nuestro favor, podemos evitar toda clase de ataques.

En esta pequeña entrada, hablaré de como hacer uso de dicha base de datos para proteger un servidor corriendo Linux. Y en mi caso Ubuntu.

La base de datos que ofrece AbuseIPDB nos permite saber todo un historial sobre una dirección IP. Cuantas veces ha sido reportada, por quien e incluso que tipos de ataques ha realizado.

Esta información es especialmente útil si contamos con otras herramientas como fail2ban. Claro, esto hablando en el caso de servidores.

Pero a veces, no solo queremos consumir una dirección a la vez. Tampoco queremos solo reportar quienes están intentando vulnerar un recurso.

Es ahí en donde la lista negra de AbuseIPDB entra en juego.

Información que contiene la lista negra de AbuseIPDB

La lista negra, en pocas palabras, solamente contiene una lista de los clientes con mayor actividad, con el mayor número de reportes desde múltiples fuentes.

Por lo cual se vuelve una gran herramienta a la hora de detener cualquier dirección que intente vulnerar un servidor. Ya que es casi seguro que lo harán.

Dicha lista, cuando es consultada, nos regresa una lista de hasta 10,000 direcciones peligrosas. Esto para las versiones gratuitas. Las de pago pueden simplemente saltarse dicho limite.

Sin embargo, aún dicha cantidad es importante. Nada despreciable considerando del tipo de clientes que se trata.

Como aprovechar esta lista

Gracias a que AbuseIPDB ofrece puntos de acceso fáciles de usar, nosotros podemos acceder a la lista negra usando la siguiente dirección.

Sin embargo, para poder consultarla debemos de estar registrados y obtener una llave API. Si no la tienes, puedes crearte una en minutos.

Pero el truco está en implementar directamente la lista en el firewall de cualquier servidor. Eso se logra usando scripts y cron jobs. De esta forma, al menos cada 24 horas, se podrá actualizar la lista de forma local.

Para no sobrecargar el servidor, es recomendable hacer uso de las herramientas iptables e ipset. Dejando de lado a fail2ban y otras soluciones de cortafuegos.

Esto, por ejemplo, ya que ipset nos permite agregar un gran número de direcciones IP y manejarlas fácilmente mediante colecciones. Haciendo poco uso de recursos.

Un ejemplo práctico de la implementación

El agregar las direcciones conflictivas al cortafuegos es sencillo. En mi caso, he creado un script en python que hace ello por mi.

Para ello, utilizo también una colección creada con ipset. La cual se limpia antes de cualquier actualización.

De esa forma, los clientes que ya no se encuentran en la lista negra de AbuseIPDB son descartados. Aunque es posible mantenerlos, para fines prácticos de esta ejemplo, no se explora esa posibilidad.

Así, este es el script que se corre cada día y que actualiza los datos desde AbuseIPDB:

Explicación del script de la lista negra

El script de python3 anterior realiza una serie de acciones antes de consultar a AbuseIPDB y justo después de esto. Se explican los puntos más importantes:

#ejecuta: ipset flush blacklist
run([ipset_bin, 'flush', set_name])

Esta línea corre un subproceso, un comando, invocando a /sbin/ipset para indicarle que limpie la lista negra local de todos los ips que tiene en ella.

#ejecuta: ipset create blacklist iphash -exist
run([ipset_bin, 'create', set_name, 'iphash', '-exist'])

Si no existe una colección creada por ipset, esta será crea. Esta usará un método de hash ideal para direcciones aleatorias. Si la colección ya existe, no pasa nada.

#Consulta el API mandando las credenciales en las cabeceras
response = requests.get(blacklist_url, headers=request_headers)

Entonces, realizamos la consulta y obtenemos el grupo de direcciones que queremos agregar al cortafuegos. En este caso, los datos están en formato json y más adelante son convertidos para ser usados por el script.

#ejecuta: ipset add blacklist <direccion_ip> -exist
run([ipset_bin, 'add', set_name, client_data['ipAddress'], '-exist'])

Finalmente, procedemos a agregar las direcciones de la lista de AbuseIPDB en la colección. Con la opción -exist nos aseguramos de que, en el remoto caso de que exista un duplicado, no nos muestre algún error.

#ejecuta: iptables -I INPUT -m set --match-set blacklist src -j DROP
run([iptables_bin, '-I', 'INPUT', '-m', 'set', '--match-set', set_name, 'src', '-j', 'DROP'])

Esto es entonces lo que hace la magia. Con este comando le decimos al cortafuegos que use la colección que hemos creado para las conexiones entrantes. Si la IP que se intenta conectar está en la lista negra, simplemente será ignorada de forma silenciosa.

Sin embargo, es ideal que solo sea usada la primera vez que se ejecuta el script o cuando se reinicia el sistema.

Conclusiones sobre el proceso

Agregar la lista negra de AbuseIPDB es relativamente sencillo. En especial si sabes manejar algunas herramientas avanzadas.

Hay muchas formas de prevenir que clientes con mal comportamiento encuentren el servidor. Pero la comentada en esta entrada ha sido la más eficiente que he encontrado.

Esto después de haber intentado usar firewalld como una alternativa. Lo cual ciertamente me hizo ver las limitaciones de no trabajar a un nivel más cercano al núcleo.

Finalmente, hay que recordar que esta solución no es realmente «persistente», ya que la lista desaparecerá cada vez que se reinicie el sistema.

Pero esto se soluciona fácilmente. Volviendo a ejecutar cada vez que se reinicie el servidor o con comandos que el propio ipset aporta.

Sin embargo, ¿Qué tan seguido se reinicia un servidor?

Por lo cual, tener esta como una capa adicional de protección es relativamente sencillo.

Siempre y cuando sepas bien que es lo que estás haciendo.