Firewall bloqueando algumas comunicações estranhas da porta de origem 22 para endereços IP em alto mar. Eu deveria estar preocupado?

Navegue suas respostas
1

Sou responsável por um servidor que serve um único serviço (ssh) pela Internet através do encaminhamento de porta por meio de um firewall.

O login do serviço ssh é limitado apenas à chave de criptografia (nenhuma senha é permitida).

Várias vezes por semana, vejo o seguinte tipo de log de firewall (um pouco ofuscado, é claro):

[UFW BLOCK] IN= OUT=eth0 SRC=192.168.x.x DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0

A porta de origem é sempre 22, e o IP de destino é sempre algo no exterior (a Coréia, nesse caso) que parece ser malicioso.

Eu tenho o servidor bastante bloqueado, mas eu não sei o suficiente sobre os protocolos SSH e TCP para ter certeza, e eu não gosto do fato de que parece que meu servidor está tentando entrar em contato com um estranho . Esse tipo de comunicação nunca acontece durante uma sessão ssh legítima.

Eu deveria estar preocupado? Há mais alguma coisa estranha nesse registro que meus olhos não tenham visto?

Edit: Eu tentei algumas coisas simples (como tentativa de senha auth) para reproduzir a conexão bloqueada usando um cliente ssh, sem sucesso. Seria bom se eu pudesse reproduzi-lo.

    
por David 16.04.2012 / 20:06

2 respostas

2

Seu sistema está aceitando o pacote de tentativa de conexão do endereço IP externo na porta 22, mas o pacote de resposta está sendo bloqueado. A porta de origem de 22 e os sinalizadores SYN e ACK no pacote mostram que ele está tentando responder à tentativa de conexão e sendo bloqueado.

Dependendo de como você configurou suas regras (Você está usando ufw , como você marcou a pergunta com isso? Ou diretamente iptables ? Você pode fornecer suas regras?), então isso pode ou não seja o caminho esperado para essa tentativa de conexão falhar. Mas a tentativa de conexão está falhando, então você está coberto lá.

    
por 16.04.2012 / 20:10
1

Uma outra sugestão não está diretamente relacionada à sua consulta, mas importante, no entanto. Se você tiver um servidor ssh voltado para Internet, sugiro que mude para o logon baseado em certificado, assegure-se de que não haja logon root no ssh e, como sempre, defina o bloqueio para 5 ou menos.

Addtionally gostaria de sugerir colocar o servidor ssh em uma porta de porta diferente e efêmera, isto é, 2222 isso normalmente silenciará o tráfego para o servidor ssh drasticamente devido a que hackers geralmente estão varrendo grandes blocos ip de portas para abrir a porta 22 em particular apenas para tentar e fuja para suas redes.

Espero que ajude ..

dc

    
por 20.04.2012 / 10:15

Tags

O PC pode acessar o servidor da Web incorporado de outro dispositivo de LAN quando conectado ao roteador / switch, mas não por WiFi Como descobrir o que está causando lentidão no aplicativo neste servidor?