Kirjoittaja Aihe: SSH:n murtosuojaus  (Luettu 10744 kertaa)

T.M

  • Käyttäjä
  • Viestejä: 172
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #20 : 27.02.07 - klo:23.03 »
juu sinä et ole varmaa asiaa kirjallisesti missään sopinut homma nyt vaan on speksattu niin sinua hieman korkeammalla tasolla. mutta toisaalta et ole varmaan missään sopinut myöskään käyttäväsi palvelimillasi TCP/IP-protokollaa? vaihtamalla protokollaa yhteysyritykset vähenevät entisestään.


ssh-serverin saa kuitenkin oikeasti konffattua niin, että sinne ei tulla sisään, ellei palvelinohjelmistosta löydy erittäin vakavaa remote exploittia. tuo taas on harvinaisen epätodennäköistä ja kaiken lisäksi tuon kaltaiset aukot paikataan aivan järkyttävän nopeasti sellaisten löydyttyä.  oiken konffatulla palvelimella puolestaan ei ole väliä mihin sen 'parkittaa' ja siksi en edelleenkään näe mitään järkeä 'parkittaa' sitä yhtään mihinkään muualle kuin IANA:n IP-protokollalle speksaamaan porttiin

Itse muistelisin että oli aikoja jolloin ssh exploittia hyödynnettiin laajastikkin. Vai rajoittuikohan se vaan matrix-elokuvaan :)

No turha täsä on enempi vääntää. Omaat varmasti enemmän tietoa IANA:n spekseistä kuin minä. Minä kuitenkin hyödynnän vapautta jonka sshd-palvelimen tekijä on minulle antanut toivottavasti ominaisuus säilyy sshd-softassa jatkossakin.

Oikea kysymys, vakavasti ottaen:
Jos kerran laajamittaiset porttiskannaukset on niin helppoja/nopeita tehdä niin miksi esim. tällä foorumilla ei ole kymmentä topiccia kyselemässä miksi palomuurilogeihin tulee kauhiasti tekstiä ? Akateemisessa mielessä kiinnostaisi myös että millä softalla ne yleensä tehdään (turboahdettu nmap oikeilla parametreillä) ???
« Viimeksi muokattu: 27.02.07 - klo:23.05 kirjoittanut T.M »

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #21 : 28.02.07 - klo:01.50 »
Itse muistelisin että oli aikoja jolloin ssh exploittia hyödynnettiin laajastikkin. Vai rajoittuikohan se vaan matrix-elokuvaan :)

minä muistan yhden remote exploitin, enkä ole ihan varma siitäkään millä tavalla konffatut (vai kaikki) (open)ssh-serverit sille olivat alttiita. joka tapauksessa tämä kyseinen haavoittuvuus pakottin tietoturvalla kehuskelevaa openbsd:tä muuttamaan mainos-sloganiaan muotoon "Only one remote hole in the default install, in more than 10 years!" :)

Minä kuitenkin hyödynnän vapautta jonka sshd-palvelimen tekijä on minulle antanut toivottavasti ominaisuus säilyy sshd-softassa jatkossakin.

ilman muuta se säilyy. epästandardin portin käyttöön voi hyvin olla pakottaviakin syitä ja sattumoisin olen parhaillaan itse tilanteessa jossa tarvitsen ssh-palvelinta kuuntelemassa epästandardia porttia kahdellakin koneella.

Oikea kysymys, vakavasti ottaen:
Jos kerran laajamittaiset porttiskannaukset on niin helppoja/nopeita tehdä niin miksi esim. tällä foorumilla ei ole kymmentä topiccia kyselemässä miksi palomuurilogeihin tulee kauhiasti tekstiä ?

paha sanoa. eikö niitä sitten tule? itse en juurikaan seuraile palomuurilogeja, mutta eipä niihin juuri mitään tulisikaan, koska kotiverkkoni on joka tapauksessa natin takana.

Akateemisessa mielessä kiinnostaisi myös että millä softalla ne yleensä tehdään (turboahdettu nmap oikeilla parametreillä) ???

no, esimerkiksi nmap sopii hommaan varsin mainiosti, mutta löytyy ubuntunkin repoista useampia ihan pelkkiä porttiscannereita. eipä ihan perustoiminnallisuuden sisältävään scanneria olisi kovin hankala itsekään tehdä, eihän siinä perustilanteessa tarvitse kuin lähettää pyyntöjä eri portteihin ja odotella vastausta. virittämiselle olisi toki sitten varaa vaikka kuinka paljon :)
Janne

Petri Järvisalo

  • Käyttäjä
  • Viestejä: 579
    • Profiili
    • Kotisivut
Vs: SSH:n murtosuojaus
« Vastaus #22 : 09.03.07 - klo:18.13 »
itse vaihdoin ssh portin 10000 ylemmäks ja lisäksi pidän listaa ketkä käyttäjät saa loggautua. loppu kolkuttelut heti.
fail2ban voisi olla toki mielenkiintoista kokeilla, mutta tuo yksinkertainen temppu hoisi homman oikein hyvin.
Lisää [ratkaistu] ketjun ensimmäisen viestin otsikkoon, kun ongelma on ratkennut.

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: SSH:n murtosuojaus
« Vastaus #23 : 04.06.09 - klo:12.01 »
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

tukste

  • Käyttäjä
  • Viestejä: 20
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #24 : 05.06.09 - klo:20.48 »
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

Saa, itselleni tuli ssh yrityksiä yli 400 päivässä ja sen jälkeen kun auth.logissa alkoi näkyä paljon Suomalaisia nimiä päätin tehdä jotain. Asensin Fail2bannin lähes oletusasetuksilla, ainut mitä vaihdoin oli maksimi yritysten määrä ja tauko sallittujen yritysten välillä. Edelleen yrityksiä tulee melko paljon ja välillä peräkkäin bannataan samaakin osoitettakin useitakin kertoja, mutta ei haittaa koska 3 yritystä ja tunnin banni välissä hidastaa ja oikeastaan lopettaa yritykset kuin seinään. Iptablesin muuttelulla ei ainekaan omasta mielestäni saa mitää lisähyötyä ssh:n suojaukseen.

Ps. Lisäksi laitoin laitoin /etc/issue.net:tiin, eli tekstiin minkä ssh serveri näyttää sisään kirjautumis yrityksen yheteydessä sopivan *ittumaisen ASCII kuvan, ihan vain kostoksi jos joku ääliö sattuu ruudun ääressä istumaan kun koneelleni yrittää

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: SSH:n murtosuojaus
« Vastaus #25 : 05.06.09 - klo:21.20 »
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

tämä on melko tehokas keino vähentää kolkutteluja...
"/etc/ssh/sshd_config" Port arvoa muuttamalla onnistuu

itse vaihdoin ssh portin 10000 ylemmäks ja lisäksi pidän listaa ketkä käyttäjät saa loggautua. loppu kolkuttelut heti.
fail2ban voisi olla toki mielenkiintoista kokeilla, mutta tuo yksinkertainen temppu hoisi homman oikein hyvin.
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: SSH:n murtosuojaus
« Vastaus #26 : 06.06.09 - klo:00.19 »
Asensin ton fail2banin, mutta minulla ei ole mitään palomuurin edusohjelmaa käytössä. SSH käyttää avaimia, mutta jatkuvat ssh:n kolkuttelut ärsyttävät silti. Saako tuon fail2banin toimimaan ilman sen kummempaa iptablesin muuttelua?

tämä on melko tehokas keino vähentää kolkutteluja...
"/etc/ssh/sshd_config" Port arvoa muuttamalla onnistuu

itse vaihdoin ssh portin 10000 ylemmäks ja lisäksi pidän listaa ketkä käyttäjät saa loggautua. loppu kolkuttelut heti.
fail2ban voisi olla toki mielenkiintoista kokeilla, mutta tuo yksinkertainen temppu hoisi homman oikein hyvin.

Juu, olen tietoinen tuosta, mutta se ole tapauksessani mahdollista. Tämä johtuu palomuurista siinä päässä, josta yleensä otan yhteyttä.