[RELug] ssh bruteforce e prevenzione

Vladimir Nicola Chersi vladimir.nicola@yahoo.it
Mer 9 Dic 2009 20:40:37 CET 

> ciao ragazzi,
> nella giornata di _ieri_ per festeggiare mi hanno attaccato (a casa) 197
> ip differenti con attacco a dizionario, sparsi per il globo.
> Hanno continuato fino a questa mattina alle 7,30 quando è caduta la luce
> in casa :|
> ogni tanto le mancanze di corrente non fanno del tutto male.
> So benissimo che una porta 22 sul mondo è un invito, ma di solito non mi
> arrivano attacchi di queste dimensioni e tipologia.
> utilizzo denyhost ma ovviamente cambiando gli ip ogni volta che vengono
> bloccati (dopo x tentativi) è inutile.
> Anche allow users.
> è possibile fare qualche cosa del tipo aumentare la latenza a 20" prima
> della richiesta della pass o simile?
> o piuttosto fare un deny:all x 5 minuti e poi riprendere?
> avete qualche altro suggerimento?

Io uso una regola di iptables che fa un lavoro simile a denyhosts, e
limito a tre tentativi al minuto da un singolo IP. Funziona bene ed e`
versatile nel senso che funziona per qualunque servizio/porta ed anche se
non usi openssh (io uso dropbear, e denyhosts con dropbear non funziona).

# filtro brute force ssh
        iptables -I INPUT -m tcp -p tcp --dport 22 -j DROP
        iptables -I INPUT -m tcp -p tcp --dport 22 -m state --state NEW -m
limit --limit 3/min --limit-burst 3 -j ACCEPT
        iptables -I INPUT -m tcp -p tcp -s 192.168.0.0/24 --dport 22 -j
ACCEPT
        iptables -I INPUT -m tcp -p tcp --dport 22 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# fine filtro

Come puoi facilmente notare richieste dall'interno della mia LAN vengono
sempre accettate, chi invece prova ad entrare da fuori ha 3 tentativi in
un minuto e poi basta (se provi a mano ti sfido a fare 3 tentativi in un
minuto).
A me questa regola ha ridotto drasticamente i tentativi, penso anche
perche` i bot si passano gli indirizzi IP su cui fare tentativi di accesso
e se dopo soli 3 tentativi vengono messi nel dimenticatoio forse non si
passano il mio IP.

> PS: non voglio cambiare porta ne utilizzare port knocking.

Ciao, Vladimir Nicola

PS: nemmeno io voglio cambiare porta ne` usare il port knocking.
Piuttosto se accedessi sempre da pc di mia proprieta` userei solo la
chiave precondivisa e disabilitarei l'accesso con password interattiva.
Vedi tu se e` una cosa fattibile.Oppure potresti mettere un demone con
accesso via password su un'altra porta, e quello sulla porta standard solo
senza password.

Maggiori informazioni sulla lista RELug