Esta é uma 'varredura de portas'?

2

Ainda é considerado uma 'verificação de porta' ter scripts tentando SSH com uma lista de nomes de contas comuns ou tentando várias senhas para 'root' ou 'mail' (ou similar)? Espero encontrar uma maneira de bloqueá-los, mas não sei o que procurar.

Quando imagino o termo port scan , penso em usar o NMAP (ou equivalente) para encontrar o que está aberto no iptables. Apenas curioso se isso se enquadra na mesma categoria.

Alguns dos meus sistemas estão registrando vários milhares por dia. É irritante.

Os sistemas são todos do CentOS / RHEL.

EDIT: iptables 'limitando' parece promissor. No final, posso ter que configurar uma VPN para todo o tráfego válido e usar algo como 'fail2ban' em meus servidores públicos.

    
por ethrbunny 22.03.2013 / 13:29

4 respostas

10

O termo de pesquisa que você precisa aqui provavelmente é algo como "block failed ssh login tries" ou "block brute force ssh" ou até mesmo "stop malicioso ssh logins".

Uma ferramenta muito popular para impedir isso é fail2ban . Ele pode assistir a seus logs em busca de tentativas de login SSH e bloquear o IP ofensivo após várias falhas por um determinado período de tempo.

Algumas outras dicas para reforçar a segurança do seu SSH:

  1. Desative o login raiz direto, se ainda não tiver feito isso. Este é um dos aspectos essenciais que você deve realmente fazer se quiser considerar seu servidor seguro.
  2. Desative a autenticação por senha e use a autenticação de chave pública. Outro essencial. Não importa o quanto adivinhem para uma senha válida se as senhas não levarem você a lugar nenhum. Além disso, usar um par de chaves para efetuar login é muito conveniente se você usar um gerenciador de chaves no lado do cliente.
  3. Use uma porta não padrão. Você poderia usar algo como 2222 ou, de preferência, algo ainda menos óbvio. Isso faz com que o número de logins com falha caia drasticamente na minha experiência. Embora, como outras pessoas apontaram nos comentários, você deve ter em mente que as portas abertas ainda são facilmente reveladas com uma varredura de porta e pode ser inconveniente para usuários legítimos efetuarem login.
  4. Bloqueie tentativas malsucedidas usando o fail2ban. Eu aconselho você a ter algum tipo de plano B caso você acidentalmente se bloqueie. Se você puder tentar novamente de um IP diferente, poderá desbloquear a si mesmo.
  5. Implemente porta batendo . Este é provavelmente um exagero, mas se implementado, pode trazer suas tentativas de login com falha para essencialmente zero. Isso pode ser muito inconveniente para usuários legítimos que desejam fazer login. Você precisa percorrer a música e a dança ao executar a gravação secreta sempre que quiser fazer login. Esqueça o login com seu smartphone.
por 22.03.2013 / 13:32
2

Ele se enquadra na categoria de um ataque de força bruta.

É possível evitar isso com iptables usando os sinalizadores --seconds e --hitcount para classificar com eficácia o limite de tentativas por segundo. A única desvantagem disso é que o invasor pode ajustar a taxa do ataque para não acionar as regras, mas geralmente os ataques não são realmente monitorados tão bem.

Você também deve desabilitar o login root e usar as chaves SSH, se você não tiver / ainda não estiver. Isso basicamente torna os ataques inúteis.

    
por 22.03.2013 / 13:42
1

Seu provável candidato a um termo de pesquisa é "tentativas de força bruta ssh".

Embora a alteração da porta SSH não aumente a segurança de sua rede, ele alertará você para um usuário mal-intencionado que alveja sua máquina com um pouco mais de foco do que os scripts preguiçosos "tentar root: root na porta 22". Eu pessoalmente uso essa abordagem em meus servidores para manter meus registros relativamente silenciosos.

    
por 22.03.2013 / 13:36
0

Não, tentar se conectar a uma conta, além de tentar ativamente senhas aleatórias, é muito mais do que apenas verificar se alguém está ouvindo em uma determinada porta. Mesmo conectando-se para obter uma faixa de, e. o servidor da web pode ser considerado mais que uma "varredura de portas".

    
por 22.03.2013 / 15:11