Limitar intentos fallidos de ssh o brute force

Hay muchos administradores de red que necesitan conectarse desde fuera a los servidores del trabajo pero no saben como hacen para abrir el puerto ssh sin ser tan vulnerable una opción seria configurar un vpn u otra seria limitar las conexiones de ese puerto por tiempo y numero de conexiones una herramienta ideal para eso seria el iptables el firewall por excelencia de linux aqui les pongo un ejemplo de como hacerlo

iptables -N pqtes-tcp-permitidos
iptables -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 22 -m recent --set
iptables -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 22 -m recent --pdate --seconds 60 --hitcount 4 -j DROP
iptables -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 22 -j ACCEPT

la primera regla crea la cadena de paquetes, la segunda regla agrega el número IP que inicia una conexión SSH a una lista, la tercera regla actualiza la lista y prueba que no hayan más de 4 requerimientos nuevos en un lapso de 60 segundos, Si los hay, la regla descarta el requerimiento. De esta manera limitamos la tasa a máximo 3 requerimientos por minuto por IP

Otra cosa interesante seria bloquear los broadcast aqui dejo la linea de como bloquearlos

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Con esto ya tenemos el ssh seguro y preenimos el brute force de ssh.

Imagen de chatuser
+1
0
-1

El arte de hacer difícil lo fácil, hay mencanismos mucho más sencillos y efectivos:

- cambiar el puerto de entrada externo del 22 a otro
- prohibir al usuario root hacer login y usar otro usuario como puente. Se acabaron las pruebas con root.
- usar un certificado para conectar, con esto no darán con la cuenta de usuario por fuerza bruta en la vida

Con las dos primeras opciones harás desistir a los lammers, los crackers buscarán otros objetivos más fáciles pues saben que se enfrentan con alguien que sabe.
Con la tercera opción no hay nada que hacer salvo DDOS, que con una línea de Internet doméstica va a ser difícil que consigan algo.

Échale un vistazo a /etc/ssh/sshd_config

----------
La ignorancia es el mejor negocio
Sólo los peces muertos van a favor de la corriente
<º)))<

+1
0
-1

----------
La ignorancia es el mejor negocio
Sólo los peces muertos van a favor de la corriente
<º)))<

Imagen de hgeorge123@hotmail.com
+1
0
-1

Te puedo asegurar que todo eso que tu dices es verdad que ayuda mucho en donde yo trabajo estaba asi y aun con eso se metieron pusimos adicional esas reglas en el iptables y mejoro enormemente al punto de que no se han vuelto a meter pero muy buena tu acotación.

+1
0
-1
Imagen de cesaranguiano
+1
0
-1

Disponemos en los repositorios “ubuntu”, de dos paquetes muy interesantes, para la seguridad de nuestros sistemas; para brute force “sshguard” y para ubuntu-server, limitación de intentos fallidos sobre "ip" o "host", SSH, FTP, SMTP, Apache, etc, “fail2ban”.

Estoy intentando recopilar información sobre los mismos. Pongo los enlaces para que le echéis un vistazo, sobretodo a “sshguard”.

About sshguard:
http://sshguard.sourceforge.net/

Preventing Brute Force Attacks With Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page
http://www.howtoforge.com/fail2ban_debian_etch

¡La seguridad empieza por uno mismo!.

Salu2,

César Anguiano Gaztelu
Pamplona, Navarra, España.
Ubuntu, user number: #14383.
Linux, user number: #341977.

+1
0
-1

César Anguiano Gaztelu
Pamplona, Navarra, España.
Ubuntu, user number: #14383.
Linux, user number: #341977.

Imagen de chatuser
+1
0
-1

Con la última vulnerabilidad del ssh es posible que puedieran meterse, pero ha sido algo extraordinario en muchos años.

Hay otra medida adicional: limitar la IP origen mediante hosts.allow, por ejemplo.

De todo modos la herramienta fail2ban que referencias me parece utilísima, cualquier imbécil que pruebe a conectar varias veces será automáticamente bloqueado.

Aún así, los lammers desistirán a la primera, pero algún listo insiste con fail2ban se le dará el golpe definitivo.

----------
La ignorancia es el mejor negocio
Sólo los peces muertos van a favor de la corriente
<º)))<

+1
0
-1

----------
La ignorancia es el mejor negocio
Sólo los peces muertos van a favor de la corriente
<º)))<

Imagen de slap
+1
0
-1

+1
0
-1

Saludos.

0000 start out (+FD),A
           ld  BC, +7FFF
           jp 03CB, RAM-CHECK

http://www.injiniero.es