Dotaz na ssh bruteforce
Jan Dusatko
jan at dusatko.org
Tue Jan 27 17:55:40 CET 2009
> >> Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji
> pri
> >> slovnikovych utocich ... aby se jim clovek vyhnul ;o)
> >>
> >> Honza
> >
> >
> > Pokud to neni na prekazku pro dane uziti stroje, myslim, ze
> nejjednodussi
> > je hodit skutecne ssh na jiny port a na 23 si dat nejaky vtipny
> skript.
>
> ssh je na portu 22.
> Pokud to neni na prekazku bezneho uziti, tak preferuji na firewallu
> omezit spojeni na ssh bud ze seznamu znamych IP adres (to je hodne
> restriktivni opatreni), nebo povolit jen "vsechny" ceske IP adresy a
> zbytek zakazat (seznam ceskych IP se da ziskat z GeoIP). Beztak
> naprosta
> vetsina utoku jde z venku. Pro pripadne spojeni z venku pak mit pustene
> ssh jeste i na dalsim portu bez tohoto omezeni.
> Samozrejme tohle nezvysuje faktickou bezpecnost, jen clovek pak nema
> plne logy balastu (coz se da dosahnout i vypnutim logovani :])
>
> > Ja jsem treba sveho casu zkousel skript, ktery proste na vyzvu
> neodpovidal
> > - a bavil jsem se tim, jak dlouho utocnikovi spojeni viselo dokud ho
> > nezavrel.
>
> Pomala odpoved se pouziva napriklad u SMTP (jako boj proti spammerum) a
> rika se tomu tarpitting.
>
> Mirek
Co se tohoto tyka, prehazovani na jiné porty moc v lasce nemam, ale ma
to svoje opodstatneni. Druhou věci je pak urcite blokovani. Ja pouzivam
pf a u toho je mozne nastavit maximalni pocet otevrenych spojeni za minutu,
dele je mozne nastavit pam_af_tool a denyip pripadne bruteforce, aby
ukladal tyto spojeni do nejake tabulky. Pravdou je, ze zatím blokuji
veskerou komunikaci z uvedenych adres, efektnejsi by vazne mohlo byt
pouzit quick drop ;o))
To kvuli cemu se o tyto utoky zajimam ale neni hrozba pro ssh, ani plneni
log souboru balastem. Duvodem je pravdepodobne ohrozeni dalsich sluzeb
z uvedene IP, pokud se nejaky stroj nebo sit snazi o utok, proc by utocila
pouze na jednu sluzbu. Jde mi o urcitou pasivni analyzu hrozeb.
Honza
More information about the Users-l
mailing list