detecting-port-scanning-with-fail2ban

por mukul975

detecting-port-scanning-with-fail2ban ayuda a configurar Fail2ban para detectar escaneos de puertos, intentos de fuerza bruta contra SSH y actividad de reconocimiento, y luego bloquear IP sospechosas y alertar a los equipos de seguridad. Esta skill encaja en flujos de trabajo de endurecimiento y detección de detecting-port-scanning-with-fail2ban para auditorías de seguridad, con orientación práctica sobre logs, jails, filtros y ajuste seguro.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-port-scanning-with-fail2ban

Puntuación editorial

Esta skill obtiene 78/100, así que es una buena candidata para el directorio si buscas un flujo real de trabajo con Fail2ban para detectar y responder a escaneos de puertos. El repositorio aporta suficiente detalle operativo para decidir la instalación: explica cuándo conviene usarlo, incluye ejemplos de la CLI de Fail2ban y de jails/filtros, y añade un script agente en Python que permite acciones concretas en lugar de un flujo genérico basado solo en prompts.

78/100

Puntos fuertes

Define un caso de uso claro para bloquear escaneos de puertos, fuerza bruta sobre SSH y reconocimiento con Fail2ban
Incluye ejemplos prácticos de configuración para jail.local, filtros personalizados y acciones de bloqueo
Aporta un script y una referencia de API que dan al agente capacidad de acción más allá de la documentación

Puntos a tener en cuenta

No incluye un comando de instalación ni una ruta de inicio rápido en SKILL.md, así que la puesta en marcha puede requerir interpretación manual
El flujo depende del firewall del host y, de forma explícita, no sirve como único control ni para ataques distribuidos

Fail2ban Intrusion Prevention Intrusion Detection Firewall Linux Security Ssh Network Security

Resumen

Panorama general de la habilidad detecting-port-scanning-with-fail2ban

Qué hace esta habilidad

La habilidad detecting-port-scanning-with-fail2ban te ayuda a configurar Fail2ban para detectar escaneos de puertos y comportamientos de sondeo relacionados, y después banear automáticamente las IP sospechosas y, opcionalmente, avisar a los equipos de seguridad. Es especialmente útil cuando necesitas detección práctica en el propio host para sistemas expuestos a Internet y quieres una vía clara desde los logs hasta la aplicación de medidas.

Para quién encaja mejor

Usa la habilidad detecting-port-scanning-with-fail2ban si administras SSH, web u otros servicios expuestos y necesitas una forma rápida de reducir el ruido de los escaneos antes de que se convierta en un incidente. Encaja muy bien en tareas de hardening, ajustes de blue team y flujos de detecting-port-scanning-with-fail2ban for Security Audit, donde quieres evidencias en los logs junto con una respuesta automatizada.

Qué suele importar a los usuarios

La mayoría de los usuarios quiere saber si la habilidad funcionará con sus logs, su firewall y los valores por defecto de su distro. El valor principal no es solo “banear IP malas”, sino si las reglas se pueden ajustar a tu entorno sin bloquear tráfico legítimo de más ni pasar por alto patrones de escaneo.

Cuándo no es la herramienta adecuada

No trates detecting-port-scanning-with-fail2ban como una plataforma completa de detección de intrusiones ni como sustituto de la segmentación de red, el rate limiting o un IDS/IPS. Funciona peor frente a escaneos distribuidos desde muchas IP, entornos ruidosos detrás de NAT compartido y servicios que no escriben logs analizables.

Cómo usar la habilidad detecting-port-scanning-with-fail2ban

Instala e inspecciona primero

Para el flujo de instalación de detecting-port-scanning-with-fail2ban, empieza añadiendo la habilidad a tu workspace y luego lee SKILL.md, references/api-reference.md y scripts/agent.py antes de cambiar nada. En este repositorio, las pistas de implementación útiles están en los ejemplos de CLI de Fail2ban, los ejemplos de jails y los patrones de filtros personalizados.

Convierte un objetivo vago en un prompt útil

El uso de detecting-port-scanning-with-fail2ban funciona mejor cuando especificas el servicio, la fuente de logs, el backend del firewall y la política de respuesta. Una petición floja como “protege mi servidor” produce ajustes genéricos; una mejor sería: “Configura detecting-port-scanning-with-fail2ban para SSH y logs de UFW en Ubuntu, banea tras 3 intentos en 5 minutos y explica cómo probarlo de forma segura sin bloquear mi IP de administración”.

Archivos y secciones que conviene leer primero

Empieza por references/api-reference.md para ver comandos de CLI, ejemplos de jails, sintaxis de filtros y acciones de ban. Después revisa scripts/agent.py para entender cómo se espera que funcionen las comprobaciones de estado y la gestión de baneos, lo que te ayuda a alinear tu automatización o tus pasos de validación con el comportamiento real de la habilidad.

Flujo práctico para evitar errores

Primero valida que Fail2ban esté instalado y que tus logs contengan los eventos que quieres detectar. Después, asigna el servicio objetivo a un jail, elige la acción de ban adecuada para iptables, nftables o firewalld, y prueba la regex contra líneas reales del log antes de activar los baneos automáticos. Si vas a usar la salida de la guía de detecting-port-scanning-with-fail2ban en producción, pon en whitelist tus IPs de administración y verifica cómo hacer unban antes de endurecer findtime o bantime.

Preguntas frecuentes sobre la habilidad detecting-port-scanning-with-fail2ban

¿Solo sirve para ataques a SSH?

No. SSH suele ser el punto de partida, pero la habilidad también es útil para HTTP, FTP y logs de servicios personalizados que muestren patrones de escaneo o fuerza bruta. El requisito clave es que los eventos estén escritos en un formato que Fail2ban pueda analizar de forma fiable.

¿Necesito la habilidad si ya sé usar Fail2ban?

Sí, si quieres un camino más rápido desde un objetivo de seguridad general hasta una configuración que funcione. La habilidad detecting-port-scanning-with-fail2ban no se centra tanto en enseñar Fail2ban desde cero como en ayudarte a decidir qué combinación de jail, filtro y acción encaja mejor con tu entorno.

¿Es apta para principiantes?

Es apta para principiantes si puedes identificar tu tipo de firewall y la ubicación de los logs, pero aun así presupone que podrás aplicar y probar cambios a nivel de sistema con cuidado. Los principiantes deberían usarla primero con un alcance reducido, por ejemplo un solo jail y una sola fuente de logs, antes de ampliarla a una detección de escaneos más amplia.

¿Cuándo no debería usarla?

Evita detecting-port-scanning-with-fail2ban si tu servidor tiene patrones de IP muy dinámicos, si no puedes tolerar falsos positivos o si el tráfico que te interesa está repartido entre muchas direcciones de origen. En esos casos, combínala con monitorización externa en lugar de depender solo de baneos en el host.

Cómo mejorar la habilidad detecting-port-scanning-with-fail2ban

Da más detalles sobre tu entorno

Los mejores resultados llegan cuando indicas desde el principio el sistema operativo, el backend del firewall, el servicio y la ruta del log. Por ejemplo, “Ubuntu 22.04, nftables, /var/log/auth.log, solo SSH, conservar acceso de administración” es mucho mejor que “configura detección de escaneo de puertos”.

Aporta ejemplos reales de logs

Si quieres filtros precisos, pega entre 3 y 10 líneas representativas del archivo de log real, incluyendo tráfico malicioso y tráfico normal. Es la forma más rápida de mejorar el uso de detecting-port-scanning-with-fail2ban porque permite ajustar la regex y los parámetros del jail a tus fallos reales, en vez de basarse en patrones adivinados.

Ajusta para falsos positivos y recuperación

El control de calidad más importante es comprobar si las reglas de ban son demasiado agresivas o demasiado débiles. Pide una primera versión conservadora y luego ajusta maxretry, findtime, bantime y las reglas de whitelist después de ver a quién se banea durante una ventana corta de monitorización.

Pide pasos de validación y rollback

Cuando solicites una guía de detecting-port-scanning-with-fail2ban, pide un plan de pruebas: cómo comprobar el estado del jail, cómo simular un trigger seguro, cómo confirmar la acción de ban y cómo hacer unban si hace falta. La calidad de la salida mejora cuando la habilidad se ve obligada a incluir comprobaciones operativas, no solo fragmentos de configuración.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k