SSH-bruteforcing yleistyy netissä, SSH-salasanat vaihtoon!

[securapple]

Hei!

Uusimpien DHSIELD-lokien mukaan internettiin päin olevien SSH-porttien salasanoja arvaillaan koko ajan yhä kiihtyneemmällä vauhdilla.
Tämä tarkoittaa, että verkkolaitteita, mäkkejä sekä linuxeja on korkattu :http://isc.sans.org/diary.html?storyid=6214

Lopputulemana mikäli avaat mäkkisi SSH:n nettiin ja käytät vain salasanaa, salasanan suositellaan olevan väh. 8 merkkiä pitkä.

Noin yleensä salasanan arvauspuolella(THC HYDRA, ym. tuotteilla) voidaan arvailla max. muutama kymmenen arvausta / sekunti riippuen netin nopeudesta. Bannerin pistäminen hidastaa arvailua. Aikaa on vain niin paljon arvailla että jossain vaiheessa salasa arvautuu oikein kun arvaus perustuu sanakirjaan ja sen sanojen sanamuunnoksiin.

Suojausta voi tehdä SSH-certeillä tai jos ei niillä halua leikkiä niin port knockerilla : http://forums.macosxhints.com/showthread.php?t=52708

Eli ssh-portti avautuu vasta kun lähetät port knocking clientillä tietyt paketit tiettyihin muihin portteihin tietyssä järjestyksessä ja sulkeutuu automaattisesti istunnon jälkeen.

-Securapple

[jaol]

Itse käytän linuxeissa (joissa on pakko pitää ssh julkiseen verkkoon) fail2ban softaa. Sulkee palomuurista pääsyn n määrän virheellisen salasanan jälkeen kyseisestä ip:stä.
Joku näytti ohjetta tehneen kuinka sen saa macillekin: http://www.fail2ban.org/wiki/index.php/ ... ver_(10.4)

[spiidi78]

Huomasin tuossa viime viikonloppuna taas sanakirjahyökkäyksen olleen valloillaan, kun SSh-portti oli auki. Eivät arvanneet kylläkään tunnareita oikein, jota en ihmettele

Tollasta blockisysteemiä mietin kanssa, että voisi asentaa, koska näköjään automaattista blockia ei tule.

[morbusg]

Mitä käytännön eroa on tuolla fail2ban:lla ja sshd_config:n MaxAuthTries:lla?

[jaol]

Mitä käytännön eroa on tuolla fail2ban:lla ja sshd_config:n MaxAuthTries:lla?

MaxAuthTries on per connection. Eli uusi yhteys joka kerta, ja voi taas yrittää uudestaan.
Fail2ban estää jo palomuurilla brutefocettajan pääsyn palvelimelle. Se voi myös lähettää emailin hälynä. Fail2ban osaa tarkkailla monen muunkin protokollaan bruteforcetuksen (esim. imap).

[securapple]

Hei!

Mikä estää tekemästä seuraavaa arvausta ei zombien kautta (IP)? Port knocking-client/server pitää portin kiinni joten on siinä mielessä fail2ban -ohjelmaa parempi. Toki jo tuo fail2ban on kyllä aika killeri satunnaista skannaajaa vastaan.

-Securapple

[PKivireki]

Noin yleensä salasanan arvauspuolella(THC HYDRA, ym. tuotteilla) voidaan arvailla max. muutama kymmenen arvausta / sekunti riippuen netin nopeudesta. Bannerin pistäminen hidastaa arvailua. Aikaa on vain niin paljon arvailla että jossain vaiheessa salasa arvautuu oikein kun arvaus perustuu sanakirjaan ja sen sanojen sanamuunnoksiin.

Miten se tämä arvailu voi yleensäkään toimia? Eli syöttääkö sanageneraattori maailman kaikki sanakirjat?

Kaikki varteenotettavat asiakkaat nääs käyttävät ftp- yms. yhteyksissä varsin kummallisia sanoja. Itsekin suosin salasanaksi sanaa, jota ei ole olemassakaan esim. munnukkan1. Eihän sellaista voi kone arvuuttaa, eihä?

[terosa]

Haluatko, että joku sanoo ettei onnistu? No jokatapauksessa salasanan käyttäminen joka ei löydy sanakirjasta parantaa turvallisuutta. Ja onhan sinulla toki jokin käyttäjätunnuskin ja noiden yhdistelmän arvaaminen on jo hankalampaa. Lähinnä sanakirjahyökkäykset suunnataan järjestelmän pääkäyttäjän tunnukseen kuten esim. root-tunnukseen tai jonkun tunnetun palvelun tunnukseen esim. apache tms.

[D]

Miten se tämä arvailu voi yleensäkään toimia? Eli syöttääkö sanageneraattori maailman kaikki sanakirjat?

Valitettavasti yllättävän monen ihmisen salasanat ovat tyyliä 'koira', joten arvailu voi olla hyvinkin tehokasta.