Vale a pena o esforço para bloquear tentativas de login malsucedidas?

Navegue suas respostas
14

Vale a pena executar o fail2ban , sshdfilter ou ferramentas similares, que listam endereços IP que tentam e não conseguem se logar?

Eu vi isso discutido que isto é um teatro de segurança num servidor "devidamente protegido". No entanto, sinto que provavelmente os script kiddies passam para o próximo servidor da lista.

Digamos que meu servidor esteja "devidamente protegido" e não estou preocupado com o fato de um ataque de força bruta ter êxito - essas ferramentas simplesmente mantêm meus arquivos de log limpos ou estou obtendo algum benefício que valha a pena ao bloquear tentativas de ataque de força bruta?

Atualização : Muitos comentários sobre adivinhação de senhas de força bruta - eu mencionei que não estava preocupado com isso. Talvez eu devesse ter sido mais específico e perguntado se o fail2ban tinha algum benefício para um servidor que só permite logins ssh baseados em chave.

    
por dunxd 29.12.2010 / 11:43

5 respostas

18

Taxa de limite de tentativas de login é uma maneira fácil de evitar alguns dos ataques de adivinhação de senhas de alta velocidade. No entanto, é difícil limitar os ataques distribuídos e muitos são executados em um ritmo baixo durante semanas ou meses. Eu pessoalmente prefiro evitar usar ferramentas de resposta automatizadas como o fail2ban. E isso é por dois motivos:

  1. Usuários legítimos às vezes esquecem suas senhas. Eu não quero banir usuários legítimos do meu servidor, forçando-me a habilitar manualmente suas contas novamente (ou pior, tentar descobrir qual dos 100/1000 endereços IP banidos é deles).
  2. Um endereço IP não é um bom identificador para um usuário. Se você tem vários usuários por trás de um único IP (por exemplo, uma escola que executa o NAT em 500 máquinas de alunos), um único usuário que faz algumas suposições erradas pode colocá-lo em um mundo de dor. Ao mesmo tempo, a maioria das tentativas de adivinhação de senhas que vejo são distribuídas.
Portanto, não considero o fail2ban (e ferramentas semelhantes de resposta automática) uma abordagem muito boa para proteger um servidor contra ataques de força bruta. Um simples conjunto de regras do IPTables para reduzir o spam de log (que eu tenho na maioria dos meus servidores linux) é algo assim: 

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Ele impede mais de 4 tentativas de conexão de um único IP para ssh em qualquer período de 60 segundos. O restante pode ser tratado garantindo que as senhas sejam razoavelmente strongs. Em servidores de alta segurança, forçar os usuários a usar autenticação de chave pública é outra maneira de parar de adivinhar.

    
por 29.12.2010 / 16:06
7

Ferramentas como o fail2ban ajudam a reduzir o tráfego de rede desnecessário e a manter os arquivos de registro um pouco menores e mais limpos. Não é uma grande segurança curar tudo, mas torna a vida do sysadmin um pouco mais fácil; é por isso que recomendo usar o fail2ban em sistemas onde você pode pagar.

    
por 29.12.2010 / 12:08
4

Não se trata apenas de reduzir o ruído - a maioria dos ataques ssh tentam adivinhar força nas senhas. Então, enquanto você verá muitas tentativas de ssh com falha, talvez até o momento em que ele conseguir a 2034ª tentativa eles possam obter um nome de usuário / senha válidos.

O bom do fail2ban em comparação com outras abordagens é que ele tem um efeito mínimo nas tentativas de conexões válidas.

    
por 29.12.2010 / 14:14
1

Bem, ele salva sua rede contra ataques de negação e economiza a sobrecarga de processamento das falhas.

Não ser o servidor mais fraco em uma lista de kiddies de script é sempre uma coisa boa.

    
por 29.12.2010 / 11:47
0

Desculpe, mas eu diria que seu servidor está devidamente protegido se o seu sshd recusar tentativas de autenticação com senhas. 

PasswordAuthentication no
    
por 29.12.2010 / 14:34

Tags

Quão ruim é executar o Exchange 2016 em um controlador de domínio do Windows 2012 R2 para uma pequena organização com menos de 25 usuários? DNS resolve endereço IP incorreto em um país