SSH versione obsoleta - chiusura della porta sufficiente?

9

riceviamo un rapporto settimanale sulla sicurezza per i nostri siti web. Ha detto che la nostra versione SSH era obsoleta (abbiamo OpenSSH_6.7p1, loro raccomandano 7.5 o successiva).

Dal momento che non esiste ancora una versione stabile per la nostra distribuzione, abbiamo pensato di chiudere la porta 22 su tutte le macchine che fronteggiano Internet (in ogni caso, buone prassi no?).

Oggi è arrivato il nuovo rapporto. Presenta ancora 10 problemi riguardanti la versione SSH.

Quindi le mie domande sono:

  1. Come possono scoprire la versione SSH se la porta è chiusa?
  2. la chiusura della porta non attenuerebbe con successo tutti i problemi di sicurezza di SSH, indipendentemente dalla versione?
posta Michael Niemand 11.09.2017 - 10:45
fonte

2 risposte

20

"La versione SSH non è aggiornata" non è necessariamente un problema di sicurezza. La loro raccomandazione è di installare la versione più recente, ma non vi è alcun vantaggio nell'esecuzione della versione più recente a meno che non si desideri disporre delle funzionalità più recenti. Per sicurezza, ciò che importa è che hai tutte le correzioni di sicurezza applicate . Molte distribuzioni applicano correzioni di sicurezza alla versione che spediscono. Ad esempio, CentOS 6 continua a essere OpenSSH 5.3p1 e riceverà aggiornamenti di sicurezza fino al 2020; CentOS 7, la versione corrente, spedisce OpenSSH 6.6.1p1. Debian jessie spedisce OpenSSH 6.7p1 e riceverà anche aggiornamenti di sicurezza fino al 2020, mentre l'ultima release include OpenSSH7.4p1.

In generale, non è necessario installare pacchetti al di fuori della propria distribuzione per componenti di infrastruttura critici come OpenSSH. In tal caso, assicurarsi di iscriversi ai bollettini sulla sicurezza e applicare gli aggiornamenti di sicurezza il prima possibile. Se installi OpenSSH 7.5 ora e te ne dimentichi più tardi, stai indebolendo notevolmente la tua sicurezza.

Se ricevi un rapporto che dice solo "la versione è obsoleta" e non tenta nemmeno di determinare se sono state applicate le patch di sicurezza appropriate, si tratta di una segnalazione errata.

Chiudere l'accesso SSH esterno ai server che non ne hanno bisogno è una buona idea a prescindere. Una macchina su cui gli aggiornamenti di sicurezza sono in ritardo o una macchina in cui la password o la chiave di un utente sono state compromesse potrebbe portare l'attaccante nella tua rete. Spesso è una buona idea limitare l'accesso esterno a una singola macchina gateway (o una piccola serie di macchine per ridondanza) in cui gli aggiornamenti e l'account vengono monitorati più da vicino. La chiusura della porta nel firewall attenuerà il problema dell'accesso diretto. L'accesso indiretto (in cui l'attaccante entra nella rete su una macchina che non sta facendo nulla di importante, e lo usa come relè per entrare in una macchina più importante) sarà comunque un problema.

Puoi controllare l'accesso SSH da solo eseguendo ssh -v MACHINENAME dall'esterno. Se MACHINENAME sta eseguendo un server SSH e il firewall non ti blocca, vedrai una riga come

debug1: Remote protocol version 2.0, remote software version OpenSSH_6.7p1 Debian-5+deb8u3

Questo, come scrivo, è la versione corrente su Debian jessie e va perfettamente bene.

    
risposta data 11.09.2017 - 13:40
fonte
3

Puoi provare a eseguire nmap -sV IP -p 22 per verificare se la porta è ancora aperta. Forse è un problema nella segnalazione? Continuano a riportare la versione fino a quando non possono convalidare che è cambiata?

Chiudere la porta attenuerà effettivamente i problemi in SSH. Se SSH è ancora disponibile sulla rete interna, questo potrebbe essere ancora un problema se non ci si può fidare della rete interna. SSH dovrebbe essere disponibile sulla macchina? In caso contrario, disabilitalo. Se dovesse essere disponibile, dovresti metterlo in una VLAN separata per l'amministrazione.

    
risposta data 11.09.2017 - 10:50
fonte

Leggi altre domande sui tag