Re: Ataque ao SSH

To: Lista Debian <debian-user-portuguese@lists.debian.org>
Subject: Re: Ataque ao SSH
From: Edson Marquezani Filho <edsonmarquezani@gmail.com>
Date: Fri, 28 Aug 2009 17:17:02 -0300
Message-id: <[🔎] 2fc5f090908281317l342f1d4cufc3310c376c783fe@mail.gmail.com>
In-reply-to: <29a1ffc50908281252k6e58e96em8a05d387d6fa2112@mail.gmail.com>
References: <[🔎] 29a1ffc50908281205t16f33cc9wbaaaf65bd1b58c8d@mail.gmail.com> <[🔎] 4b9390360908281212y590f0110o54f2312956f25401@mail.gmail.com> <[🔎] 29a1ffc50908281221h1e6e68bfl5758b3e767c6de0@mail.gmail.com> <[🔎] 2fc5f090908281250y3b6a5b41q8ae86d87be80e359@mail.gmail.com> <29a1ffc50908281252k6e58e96em8a05d387d6fa2112@mail.gmail.com>

2009/8/28 Leandro Moreira <leandro@leandromoreira.eti.br>:
> Edson,
> Se for possivel me mande as regras, pois esse conceito de port-knocking e
> bem legal.
>
> Att.
>

(Enviando pra lista, pra compartilhar com todo mundo.)

Vou te passar um exemplo que uso aqui, certo?, comentando o
significado de cada linha. (Repare no uso do módulo recent.)

# Essa regra registra o endereço de origem do pacote que chega à porta "secreta"
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$KNOCK_PORT -m recent --set --rsource --name SSHKNOCK -j DROP
# As regras a seguir removem esse endereço caso alguém esteja tentando
disparar pacotes para todas as portas, para acertar a certa "no
escuro". Então, removemos a marca para uma porta acima e uma abaixo.
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$((KNOCK_PORT - 1)) -m recent --remove --rsource --name SSHKNOCK -j
DROP
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$((KNOCK_PORT + 1)) -m recent --remove --rsource --name SSHKNOCK -j
DROP
# Libera o acesso se o mesmo endereço que bateu na porta "secreta"
agora tenta conectar, num tempo máximo de até tantos segundos
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$SSHD_PORT -m recent --rcheck --rsource --seconds 20 --name SSHKNOCK
-j ACCEPT

Você pode adaptar isso inclusive para outras chains, basta entender a
lógica. Eu uso para acesso a serviços redirecionados por NAT,
trabalhando com a chain FORWARD também.
Eu considero uma camada de proteção razoável para muitos dos casos.
Como dizem por aqui, segurança é um conceito, não um produto. =) E uma
coisa importante é o custo da segurança pra você e pra quem quer
quebrá-la. Você pode proteger de várias formar, mas quantos mais fizer
isso, mais difícil fica pra vocẽ mesmo usar.

Essa técnica não é perfeita, mas ajuda bem, já.

Tente encontrar o artigo que eu falei. Nele é explicado direitinho o
significado das coisas. Os endereços registrados ficam num arquivo e
tal, é legal saber, e eu mesmo nem me lembro mais.

Boa sorte. =)

Reply to:

References:
- Ataque ao SSH
  - From: Leandro Moreira <leandro@leandromoreira.eti.br>
- Re: Ataque ao SSH
  - From: Alex Paulo Laner <rootsh@noisemakers.org>
- Re: Ataque ao SSH
  - From: Leandro Moreira <leandro@leandromoreira.eti.br>
- Re: Ataque ao SSH
  - From: Edson Marquezani Filho <edsonmarquezani@gmail.com>

Prev by Date: Re: Ataque ao SSH
Next by Date: O DOSBOX permite redirecionar uma impressao ?
Previous by thread: Re: Ataque ao SSH
Next by thread: WHM
Index(es):
- Date
- Thread