[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema con conexion a ssh

El Sun, 11 Apr 2010 17:35:10 +0200, Angel Abad escribió:

> Camaleón escribió:

>> Ten en cuenta que lo ideal es tener alguna de estas opciones
>> habilitadas, independiente de donde tengas escuchando el servidor ssh,
>> sobre todo si el servicio ssh es público y accesible desde Internet.
> 
> Por supupesto, estoy de acuerdo contigo y como he dicho antes, tengas el
> ssh en el puerto que lo tengas es un servicio crítico que hay que
> securizar y si además le añades seguridad adicional como fail2ban, mejor
> que mejor...

Claro. 

Es que se tiende a pensar que el cambio de puerto te proporciona 
seguridad y más bien lo que hace es lo contrario: genera un efecto de 
falsa seguridad que hace que te olvides de implementar otras medidas, más 
realistas y efectivas.
 
>> La mayoría de los scripts automatizados que hay por ahí hacen un
>> escaneo de todos los puertos, y cuando encuentran uno escuchando, lo
>> acribillan.
> 
> No estoy de acuerdo, los scripts automatizados buscan puertos abiertos,
> pero por lo general un script kiddie no va a buscar un puerto abierto en
> el 22221 y si lo encuentra es raro que se tire a hacer un desafio
> usuario/contraseña de forma automática en ese puerto.

Ah, pero ¿todavía se utilizan los métodos manuales para acceder los 
sistemas? Yo pensaba que eso ya era cosa del pasado :-)
 
>> Es decir, conocer de antemano (o no) el puerto al que tienes asociado
>> un servicio a día de hoy resulta casi inútil. Hace 10 años, vale, pero
>> ahora hay herramientas que hacen de todo automáticamente y en apenas
>> unos segundos >:-)
> 
> Tampoco estoy de acuerdo, la verdad que no tengo argumentos, pero por
> experiencia... Cuando he tenido servers con el ssh en el puerto 22 logs
> eran un infierno, un montón de ataques de diccionario al dia. Cambiarlos
> al 222** y desde ese dia puedes ver los logs y no tienes mil intentos de
> usuario/contraseña. Como te digo no tengo argumentos para decirte por
> que, pero si tienes servidores públicos prueba a cambiar el puerto y
> verás la diferencia en tu /var/log/auth.log

A mí me atacan el puerto 110 (servidor pop3), supongo que para obtener la 
contraseña y poder enviar a través del servidor smtp (que implementa smtp 
auth). No puedo cambiarlo, es un servicio universal, sólo puedo 
asegurarlo (por medio de reglas en el cortafuegos que desconecten a los 
scripts automatizados a los "x" intentos fallidos)) y vigilarlo muy de 
cerca. Obviamente, forzar una política de contraseñas seguras, para que 
los usuarios no me usen "sunombre01" y cosas así :-)

Saludos,

-- 
Camaleón
Reply to: