WAZUH - BLOCKED

 

🛡️ Implementación de Bloqueo Automático de IPs Maliciosas con el Módulo Firewall-Drop de Wazuh

En esta práctica aprenderemos a proteger nuestro sistema frente a ataques de fuerza bruta y accesos no autorizados al servicio SSH, utilizando la integración entre Wazuh y el cortafuegos del sistema (iptables). Implementaremos una automatización que permitirá bloquear de forma permanente las direcciones IP maliciosas que generen eventos de seguridad relacionados con intentos de acceso fallidos o comportamientos sospechosos.

Para lograrlo, primero comprenderemos el funcionamiento de iptables, la herramienta de gestión de cortafuegos nativa en Linux, y cómo se pueden establecer reglas de filtrado de tráfico. Luego, configuraremos Wazuh para que, mediante su módulo firewall-drop, actúe de forma automática ante ciertos eventos de seguridad, ejecutando el bloqueo inmediato de la IP atacante.

🎯 Objetivo de la práctica

• Entender el funcionamiento básico de iptables y su papel en la protección del sistema.

• Implementar reglas de bloqueo de direcciones IP que realicen intentos de acceso no autorizados.

• Automatizar el proceso de bloqueo mediante el módulo firewall-drop de Wazuh.

• Detectar y reaccionar ante eventos específicos relacionados con ataques o intentos de intrusión.

• Verificar la eficacia del mecanismo de defensa automática frente a intentos de conexión SSH fallidos.

🧩 Aspectos clave de la práctica

🔹 Funcionamiento de iptables

iptables es una herramienta de filtrado de paquetes que permite definir políticas de tráfico en sistemas Linux. Opera mediante reglas y cadenas, las cuales determinan qué hacer con los paquetes entrantes o salientes según su origen, destino o tipo de conexión.

Las acciones principales que puede tomar iptables son:

• ACCEPT → Permitir el tráfico.

• DROP → Bloquear el tráfico sin enviar respuesta.

• REJECT → Rechazar el tráfico informando al remitente.

En el contexto de seguridad, la acción DROP resulta especialmente útil, ya que silencia completamente a los atacantes, sin revelar información del sistema.

🔹 Bloqueo manual vs. bloqueo automatizado

Inicialmente, el bloqueo de IPs puede realizarse manualmente, añadiendo reglas al cortafuegos para impedir que una dirección específica acceda al servidor. Sin embargo, este proceso manual no es eficiente en entornos reales, donde los intentos de ataque pueden ser constantes y provenientes de múltiples direcciones IP.

Para solventar esta limitación, se recurre a la automatización con Wazuh, que analiza los eventos del sistema y ejecuta bloqueos en tiempo real ante patrones de comportamiento sospechosos.

🔹 Integración con el módulo Firewall-Drop de Wazuh

El módulo firewall-drop de Wazuh permite que el sistema reaccione automáticamente ante incidentes detectados, añadiendo reglas de bloqueo en iptables cuando se generan eventos específicos.

Este módulo es una herramienta poderosa dentro del ecosistema SIEM, ya que combina la detección (IDS) con la respuesta automática (IPS), transformando a Wazuh en un sistema capaz de actuar de forma proactiva ante amenazas.

En esta práctica, se ha configurado para responder ante los siguientes eventos relacionados con el servicio SSH y el sistema PAM:

• 5760 – sshd: Authentication failed.
  → Indica un intento fallido de autenticación SSH.

• 5763 – sshd: Brute force trying to get access to the system. Authentication failed.
  → Detecta un ataque de fuerza bruta con múltiples intentos en un corto periodo.

• 5551 – PAM: Multiple failed logins in a small period of time.
  → Señala intentos repetidos de acceso al sistema utilizando diferentes credenciales.

• 5710 – sshd: Attempt to login using a non-existent user.
  → Refleja un intento de conexión con un usuario inexistente en el sistema.

• 5712 – sshd: Brute force trying to get access to the system. Non existent user.
  → Refleja un intento de conexión con un usuario inexistente en el sistema.

Ante cualquiera de estos eventos, Wazuh ejecuta el módulo firewall-drop, que añade automáticamente una regla en iptables para bloquear la IP atacante, impidiendo nuevas conexiones desde dicha dirección.

🔍 Importancia de esta implementación

La automatización del bloqueo de IPs representa una medida de defensa reactiva y preventiva frente a ataques de fuerza bruta o exploraciones maliciosas.

Este tipo de integraciones permiten:

• Reducir la exposición del sistema ante atacantes automatizados.

• Responder en tiempo real ante intentos de intrusión sin intervención manual.

• Evitar el agotamiento de recursos, al bloquear rápidamente conexiones repetitivas.

• Mejorar la resiliencia del servidor SSH, un servicio crítico en cualquier entorno Linux.

Además, la práctica refuerza la comprensión del papel de un SIEM moderno como Wazuh, no solo en la detección de eventos, sino también en su respuesta automatizada, fortaleciendo la postura de seguridad global del sistema.

✅ Resultados esperados

• Comprensión clara del funcionamiento de iptables como cortafuegos.

• Wazuh configurado con el módulo firewall-drop habilitado.

• Generación automática de reglas de bloqueo ante eventos de autenticación fallida o accesos sospechosos.

• Confirmación de que las IPs maliciosas son bloqueadas y registradas correctamente.

• Comunicación y operación normal del sistema con los accesos legítimos preservados.

🧠 Aplicación práctica

Esta práctica demuestra la sinergia entre detección y respuesta automática dentro de un entorno SIEM moderno.

La integración de iptables con Wazuh permite que el servidor no solo detecte ataques, sino que actúe en tiempo real para detenerlos, transformando la seguridad pasiva en una defensa activa.

Aplicar este tipo de automatización es esencial en entornos empresariales donde los intentos de acceso por fuerza bruta o autenticaciones fallidas son frecuentes.

Gracias al módulo firewall-drop, los administradores pueden asegurar que el sistema aprende y reacciona ante amenazas, minimizando el impacto de los ataques y fortaleciendo la integridad del servicio SSH.

Estructura de red