Bloquear ataques ssh de diccionario
Cuando necesitamos conectarnos a nuestro servidor por ssh y no disponemos de una ip fija desde el cliente no podemos hacer una denegación de servicio por ip, con lo que hay que buscar otras maneras de hacerlo. Aquí os paso una receta que he visto en Debian Administration para hacerlo con dos lineas de iptables:
iptables -I INPUT -p tcp --dport 22 -i eth0
-m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0
-m state --state NEW -m recent --update
--seconds 60 --hitcount 4 -j DROP
Con estas reglas denegarán las conexiones a partir del 4º intento continuado y dejaremos de ver esos interminables logs en auth.log
Saludos.
- Inicie sesión o regístrese para enviar comentarios
- 2736 lecturas
Tags
Relacionado con Bloquear ataques ssh de diccionario
No existía para eso fail2ban??
---
=(ADW)= Aprendiendo algo nuevo cada día
Respuesta a No existía para eso fail2ban??
---
=(ADW)=
Puede que exista para eso pero cuanta mas variedad mas alternativas
otra alternativa mas una buena configuracion del paquete denyhost.
---
La seguridad es solo un estado mental.
Entre la satisfacción y la total decepción hay solo una acción.
Solo se que se todo lo que no se
Respuesta a No existía para eso fail2ban??
---
=(ADW)=
En mi opinión, lo mejor para acceder a un servidor desde una IP dinamica es usar Port Knocking.
Pego de la Wikipedia (http://es.wikipedia.org/wiki/Golpeo_de_puertos):
El golpeo de puertos (del inglés port knocking) es un mecanismo para abrir puertos externamente en un firewall mediante una secuencia preestablecida de intentos de conexión a puertos que se encuentran cerrados. Una vez que el firewall recibe una secuencia de conexión correcta, sus reglas son modificadas para permitir al host que realizó los intentos conectarse a un puerto específico.
Respuesta a En mi opinión, lo mejor
Me parece la forma mas sencilla de reventar la seguridad de un sistema, pues teniendo dicho servicio corriendo del golpeo de puertos con solo que un usuario conozca la secuencia o de con ella por casualidad entrará siempre que le plazca sin que el sistema se entere, es decir es muy seguro en si pero a la vez un arma de un doble filo el cual uno de los filos puede a llegar a ser mas cortante que el otro
Es mi humilde opinion, pues ademas que no se registra la ip como que ha introducido una secuencia erronea y no bloquea a un posible atacante con lo que con un ataque combinado puedes abrir el puerto que te plazca (lo que se tarde ya es otra cosa.
---
La seguridad es solo un estado mental.
Entre la satisfacción y la total decepción hay solo una acción.
Solo se que se todo lo que no se
Respuesta a No existía para eso fail2ban??
---
=(ADW)=
Pues si, está fail2ban y algunos más, cada cual puede elegir lo que más le guste. Para algún equipo que hace labores de cortafuegos y sólo tiene abierto el servicio ssh yo no pondría un programa de ese tipo pero...
Respuesta a En mi opinión, lo mejor
También puedes matar moscas con una escopeta, pero no es habitual.
Respuesta a También puedes matar moscas con
Sólo decía lo del fail2ban porque (quizá estoy equivocado, no entiendo mucho de iptables) con ese script que has puesto, se banea la IP al 4º intento... y cuando esa IP (supongámosla dinámica) sea concedida a otro usuario que no tiene nada que ver con el atacante y al que sí deseemos permitir el acceso? IPtables elimina las IPs denegadas cada cierto tiempo para readmitir su acceso? Por eso hice mención de fail2ban, no con ánimo de menospreciar el post.
Siento si así ha sido interpretado.
---
=(ADW)= Aprendiendo algo nuevo cada día
Respuesta a Sólo decía lo del fail2ban
No, no, lo que hace es bloquear la conexión ssh durante 60 segundos (lo puedes poner el tiempo que estimes oportuno). Con eso no actúas contra una ip en particular, sólo te defiendes de los programitas que se usan para ese tipo de ataques. No pretende ser un remedio contra el ataque en sí (para eso lo mejor es tener unas buenas contraseñas) sino para evitar los logs basura.
Respuesta a Pues si, está fail2ban y
DenyHost si que bloquea la ip durante el tiempo que estimes oportuno incluso eternamente XDD, segun lo configures va desde 60 segundos hasta toda la vida XDD.
Perdona troll no queria ponerlo como respuesta a ti pero no me funcionaba el botón de publicar respuesta, y no se por que
---
La seguridad es solo un estado mental.
Entre la satisfacción y la total decepción hay solo una acción.
Solo se que se todo lo que no se
Tambien como prevencion es bueno saber en que subred nos da el ISP la ip, y si suele moverse dentro de una subred puede discriminar las conexiones permitidas, con esto practicamente cortas todos los intentos... pero siempre esta la probabilidad abierta para los que se encuentren en tu subred.