Re: Problema con conexion a ssh
El Sun, 11 Apr 2010 17:35:10 +0200, Angel Abad escribió:
> Camaleón escribió:
>> Ten en cuenta que lo ideal es tener alguna de estas opciones
>> habilitadas, independiente de donde tengas escuchando el servidor ssh,
>> sobre todo si el servicio ssh es público y accesible desde Internet.
>
> Por supupesto, estoy de acuerdo contigo y como he dicho antes, tengas el
> ssh en el puerto que lo tengas es un servicio crítico que hay que
> securizar y si además le añades seguridad adicional como fail2ban, mejor
> que mejor...
Claro.
Es que se tiende a pensar que el cambio de puerto te proporciona
seguridad y más bien lo que hace es lo contrario: genera un efecto de
falsa seguridad que hace que te olvides de implementar otras medidas, más
realistas y efectivas.
>> La mayoría de los scripts automatizados que hay por ahí hacen un
>> escaneo de todos los puertos, y cuando encuentran uno escuchando, lo
>> acribillan.
>
> No estoy de acuerdo, los scripts automatizados buscan puertos abiertos,
> pero por lo general un script kiddie no va a buscar un puerto abierto en
> el 22221 y si lo encuentra es raro que se tire a hacer un desafio
> usuario/contraseña de forma automática en ese puerto.
Ah, pero ¿todavía se utilizan los métodos manuales para acceder los
sistemas? Yo pensaba que eso ya era cosa del pasado :-)
>> Es decir, conocer de antemano (o no) el puerto al que tienes asociado
>> un servicio a día de hoy resulta casi inútil. Hace 10 años, vale, pero
>> ahora hay herramientas que hacen de todo automáticamente y en apenas
>> unos segundos >:-)
>
> Tampoco estoy de acuerdo, la verdad que no tengo argumentos, pero por
> experiencia... Cuando he tenido servers con el ssh en el puerto 22 logs
> eran un infierno, un montón de ataques de diccionario al dia. Cambiarlos
> al 222** y desde ese dia puedes ver los logs y no tienes mil intentos de
> usuario/contraseña. Como te digo no tengo argumentos para decirte por
> que, pero si tienes servidores públicos prueba a cambiar el puerto y
> verás la diferencia en tu /var/log/auth.log
A mí me atacan el puerto 110 (servidor pop3), supongo que para obtener la
contraseña y poder enviar a través del servidor smtp (que implementa smtp
auth). No puedo cambiarlo, es un servicio universal, sólo puedo
asegurarlo (por medio de reglas en el cortafuegos que desconecten a los
scripts automatizados a los "x" intentos fallidos)) y vigilarlo muy de
cerca. Obviamente, forzar una política de contraseñas seguras, para que
los usuarios no me usen "sunombre01" y cosas así :-)
Saludos,
--
Camaleón
Reply to: