Prevenire gli attacchi di forza bruta contro ssh?

Quale strumento o tecnica usi per prevenire attacchi di forza bruta contro la tua porta ssh. Ho notato nei miei registri di sicurezza che ho milioni di tentativi di accesso come vari utenti tramite ssh.

Questo è su una scatola di FreeBSD, ma immagino che sarebbe applicabile ovunque.

Ecco un buon post sull'argomento di Rainer Wichmann.

Spiega pro e contro su questi metodi per farlo:

• Password complesse
• Autenticazione RSA
• Usando 'iptables' per bloccare l'attacco
• Utilizzo del registro sshd per bloccare gli attacchi
• Utilizzo di tcp_wrappers per bloccare gli attacchi
• Bussare alla porta

Uso fail2ban che bloccherà un IP dopo diversi tentativi falliti per un periodo di tempo configurabile.

Combina questo con i test di sicurezza delle password (usando john (John the Ripper)) per garantire che gli attacchi di forza bruta non abbiano successo.

La piccola cosa che puoi fare è usare qualcosa come DenyHosts:

http://denyhosts.sourceforge.net/

Utilizza il file hosts.allow / hosts.deny integrato per bloccare gli utenti di SSH.

• Cambia la porta utilizzata (come menzionato da Trento )
• Richiedi chiavi di crittografia anziché password. http://novosial.org/openssh/publickey-auth/
• Lista nera attaccante ips
• Aggiungi alla lista bianca gli utenti noti per impedire la blacklist accidentale. (come menzionato Samiuela)

Uno dei modi più semplici per evitare questi attacchi è cambiare la porta su cui sshd è in ascolto

Come sottolinea Chris, utilizzare le chiavi di crittografia anziché le password.

Aggiungi a quello:

• utilizzare una whitelist ove possibile.

Quante persone o posizioni (con IP pubblici fluttuanti) hai davvero bisogno di accedere alle tue connessioni ssh pubbliche?

A seconda del numero di host SSH pubblici che stai gestendo e della possibilità di restringere i criteri di connessione generali, potrebbe essere una configurazione più semplice, ma non modificabile, per limitare l'accesso a pochi host esterni.

Se questo funziona per te, può davvero semplificare il sovraccarico amministrativo.

Oltre agli altri buoni suggerimenti, una cosa davvero semplice da fare è la connessione in entrata con limite di velocità. Limite a 3 connessioni al minuto per IP:

iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

Utilizzare l'opzione "AllowUsers" in sshd_config per assicurarsi che solo un numero limitato di utenti possa accedere. Tutti gli altri verranno rifiutati, anche se il loro nome utente e password sono corretti.

Puoi anche limitare gli utenti agli accessi da un determinato host.

per esempio,

AllowUsers user1 user2@host.example.com

Ciò ridurrà lo spazio di ricerca ed eviterà quei vecchi utenti che sono stati accidentalmente lasciati in giro o abilitati (anche se questi ovviamente dovrebbero essere disabilitati comunque, questo è un modo semplice per impedire che vengano utilizzati per una voce basata su SSH).

Questo non ferma completamente gli attacchi di forza bruta, ma aiuta a ridurre il rischio.

Usa qualcosa del genere con PF:

tabella <ssh-brute>
blocco persistente nel registro rapido dall'etichetta ssh_brute
passa su $ ext_if proto tcp a ($ ext_if) porta ssh modulate state \
(max-src-conn-rate 3/10, overload flush globale)

Il port knocking è un modo abbastanza solido per tenere fuori questo genere di cose. Leggermente complicato, a volte fastidioso, ma sicuramente risolve il problema.

Il contesto è importante, ma consiglierei qualcosa del genere:

• Dato che stai usando FreeBSD, considera di eseguire il firewall PF e di utilizzare le sue solide funzionalità di limitazione della velocità di connessione. Ciò ti consentirà di inviare i bruti forzati a una lista nera se si collegano su base frequente
• Se è necessario accedere a questa casella dal mondo esterno, prendere in considerazione l'utilizzo di una regola rdr PF per non consentire il traffico alla porta 22, ma per reindirizzare una porta oscura ad essa. Significa che devi connetterti alla porta 9122 invece che a 22. È oscuro, ma tiene lontani i knocker
• considerare di passare solo all'autenticazione basata su chiave, rendendo inutili gli attacchi ai dizionari

Oltre al suggerimento di limitazione della frequenza di Sherbang , la durata del ritardo è importante. Aumentando il ritardo tra gruppi di 3 tentativi di accesso da 2 minuti a 20 minuti, il numero di diversi indirizzi IP che hanno effettuato più di tre tentativi di accesso è diminuito, confrontando due periodi di una settimana su una mia macchina, da 44 tentativi a 3 Nessuno di questi tre indirizzi ha continuato a provare per più di 11 ore.

Molto aneddotico, ma auth.log è diventato molto più leggibile per me ...

Non me ne importa niente. Lasciali allacciare al porto, non hanno intenzione di forzare la forza di una chiave.

installa OSSEC. non solo monitora accessi ripetuti, ma inserirà un blocco temporaneo con iptables per l'IP offensivo. E alla fine ti invierà un rapporto con i dettagli. registra tutto, il che è carino. Somone una volta ha provato oltre 8000 nomi di login con cui effettuare l'accesso. ho analizzato i log e ho ottenuto un bel elenco di utenti fuori affare;)