Existe alguma brecha no IP que restringe o sshd?

2

Digamos que eu queira permitir apenas logins de nome de usuário / senha na minha rede privada, mas restringir todas as fontes externas ao login key / cert. Eu faria algo assim:

RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no

Match Address 10.0.0.*
    PasswordAuthentication yes

Mas há uma maneira de um invasor conseguir enganar isso para aparecer dentro do meu alcance de IP local e ter logins de nome de usuário / senha da Internet?

    
por Martin Nielsen 25.09.2014 / 09:41

1 resposta

2

IP Spoofing , é uma técnica em que o invasor usa um endereço de fonte IP falsificado com o objetivo de ocultar a identidade de o remetente ou se passando por outro sistema de computação.

No entanto, esse tipo de ataque será quase "impossível" da Internet porque RFC1918 define os seguintes blocos que serão ser usado somente dentro de ambientes LAN:

The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP address space for private internets:

 10.0.0.0        -   10.255.255.255  (10/8 prefix)
 172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

Isso também significa que os ISPs na Internet não encaminharão essas solicitações de volta ao invasor se ele de alguma forma forjar um endereço IP de dentro da sua LAN.

Como as camadas de segurança nunca são suficientes, e se você tiver controle sobre o firewall, ou se essa máquina estiver diretamente conectada a uma interface da Internet, sugiro que você ative o Reverse Path Filtering dentro do Linux:

# sysctl -w net.ipv4.conf.all.rp_filter = 0
# sysctl -w net.ipv4.conf.default.rp_filter = 0

Isso fará com que seu kernel descarte automaticamente pacotes que obviamente não pertencem à mesma sub-rede da interface onde eles estão tentando ingressar.

    
por 07.04.2015 / 19:58