Perché bloccare IP da cui l'accesso SSH ha avuto esito negativo troppo spesso?

Naviga le tue risposte
0

Ho un Raspberry Pi con connessione a Internet su una connessione Internet privata e l'ultima volta che l'ho configurato non mi sono preoccupato di installare un modo per bloccare gli indirizzi IP dai quali troppi tentativi di accesso SSH non sono riusciti a tentare gli accessi SSH in il prossimo futuro perché semplicemente non ne vedo il senso.

Tutto ciò ha portato a voci di registro che assomigliano a questo: 

2016-10-01 14:28:25 root        failed   119.249.54.88:56388
2016-10-01 14:28:26 root        failed   121.18.238.104:43921
2016-10-01 14:28:27 root        failed   119.249.54.88:56388
2016-10-01 14:28:28 root        failed   121.18.238.104:43921
2016-10-01 14:28:30 root        failed   119.249.54.88:56388
2016-10-01 14:28:30 root        failed   121.18.238.104:43921
2016-10-01 14:28:34 root        failed   121.18.238.104:41379
2016-10-01 14:28:35 root        failed   121.18.238.104:41379
2016-10-01 14:28:35 root        failed   119.249.54.88:60430
2016-10-01 14:28:37 root        failed   121.18.238.104:41379
2016-10-01 14:28:37 root        failed   119.249.54.88:60430
2016-10-01 14:28:41 root        failed   121.18.238.104:42230
2016-10-01 14:28:41 root        failed   119.249.54.88:60430

Il registro mostra solo i tentativi di accesso tramite password poiché tentare di accedere tramite l'autenticazione con chiave pubblica sarebbe ancora più ridicolo. La stragrande maggioranza dei tentativi di accesso tenta di accedere come root che, nel caso del mio raspi, ovviamente non può nemmeno accedere. Finora, nessun tentativo di accesso ha nemmeno indovinato un nome utente valido ( pi è stato indovinato abbastanza spesso ma non esiste sul mio raspi), figuriamoci uno che può anche accedere tramite nome utente e password.

C'è qualche vantaggio in termini di sicurezza nel bloccare tali indirizzi IP per alcuni minuti? La possibilità di un sistema con password complesse (per gli utenti che possono accedere tramite username e password) sembra essere fondamentalmente 0. Anche con una password ASCII stampabile di 8 caratteri (che sarebbe patetico, ovviamente), il nome utente garantito per essere corretto (dal momento che non si dovrebbe mai presupporre che un nome utente sia un segreto) e 100 tentativi di accesso al secondo (che probabilmente la mia connessione internet lenta non è in grado di gestire) è letteralmente ~ 1 milione di anni fino al successo previsto.

Se blocco questi tentativi di accesso, tutto quello che realizzerò è dire agli attaccanti di attaccare qualcun altro e magari chiudermi per qualche minuto se ottengo una password sbagliata troppo spesso (è successo solo una volta lontano e ho impostato il tempo di bloccare a qualcosa come 2 minuti, quindi ho dovuto aspettare solo un breve periodo di tempo). Non vedo perché questo sarebbe consigliato. Sembra così inutile. Mi manca qualcosa?

    
posta UTF-8 01.10.2016 - 15:08
fonte

4 risposte

1

Is there any security benefit of blocking such IP addresses for a few minutes?

File di registro più piccoli man mano che i robot si arrendono e tentano obiettivi diversi. Registri più piccoli significa più cronologia dei registri (e meno churn se questi registri sono scritti in flash).

If I block these login attempts

Intensificare una connessione SSH protetta e verificare se è consentito il login a root è molto più lavoro che fa cadere un pacchetto.

Si risparmia un po 'di energia e forse una quantità non trascurabile di larghezza di banda.

fail2ban... I don't see the point

Potresti piuttosto aggiungere una regola LIMIT del firewall.

my slow internet connection ...

Scenario 1 

TCP handshake: 3 packets
SSH session initiation: half a dozen packets
Login failure: 2 packets
TCP teardown: 3 packets
------------------
Total: 12+ packets @ 1800 per hour = 2-20 MB per hour

Scenario 2: 

SYN hits the floor.
------------
Total: 1 very small packet @ 10 per hour = not much

Questi robot utilizzano una quantità non trascurabile della larghezza di banda. Bloccali in modo che usino meno.

    
risposta data 24.02.2017 - 21:07
fonte
2

Questo è un semplice attacco di forza bruta, scelgono un login e provano tutte le password possibili, a partire da quelle più comuni e simili.

Nel tuo caso hanno provato un nome utente che non esiste nemmeno, il che ti porta a chiedere se c'è anche un punto nel bloccarli, ma considera lo scenario in cui provano un accesso valido.

Non bloccare il loro IP darebbe loro l'opportunità di provare diversi milioni, forse miliardi di password al giorno, finché non troveranno quella giusta.

Se blocchi il loro IP per diversi minuti ogni volta che falliscono un certo numero di tentativi, tuttavia, renderanno completamente vane le loro speranze di trovare quella password entro un periodo di tempo pratico. Quel server non sarà hackerato in quel modo nel giro di una vita.

Questo significa anche che molto probabilmente cederanno e smetteranno di inondare il tuo server con tentativi di login stupidi.

    
risposta data 02.10.2016 - 07:51
fonte
0

Al fine di contrastare attacchi SSH come questo, utility come fail2ban o CSF / LFD vengono comunemente utilizzate su server con connessione Internet. Questi strumenti analizzeranno i registri e genereranno regole iptables al volo per bloccare l'indirizzo IP offensivo.

Anche se è improbabile che abbiano successo, penso che sia una buona pratica bloccare questi attacchi. Salvi un po 'di larghezza di banda e CPU.

A seconda dello strumento, potresti essere in grado di autorizzare determinati indirizzi IP come il tuo, se sono statici o non cambiano spesso.

Su alcuni sistemi ho assistito a centinaia di attacchi al giorno. A un certo punto potrebbero scaricare le tue risorse. Hai poco da perdere bloccandoli.

    
risposta data 01.10.2016 - 15:41
fonte
0

C'è qualche vantaggio in termini di sicurezza nel bloccare tali indirizzi IP per alcuni minuti?

Se cambi la tua porta SSH pubblica, probabilmente non vedrai mai un altro tentativo. Questo è il modo migliore per mantenere i registri liberi in modo che tu possa vedere i problemi reali.

Se disabiliti gli accessi alle password in SSH, le possibilità di qualsiasi accesso non autorizzato sono davvero ridotte.

Il blocco degli IP è davvero necessario solo se non si fa quanto sopra. In questo caso, solo perché non hai visto un tentativo riuscito nei pochi minuti in cui hai effettivamente guardato i log, questo non indica che non avranno successo in futuro o che non eseguiranno alcuni altro attacco riuscito ma mascherato da molte altre voci di registro. Tuttavia, fare i blocchi temporanei di certo non fa male se non per un ritardo molto raro al tuo login. Aggiunge ulteriore sicurezza e sarebbe utile nel caso in cui la botnet passasse ad un attacco più mirato.

Qualsiasi computer connesso direttamente con le porte aperte su Internet inizierà automaticamente a essere scansionato dagli aggressori entro circa 30 secondi.

Poiché così tanti dispositivi connessi a Internet utilizzano SSH per fornire accesso remoto alla riga di comando e poiché l'utente root ha il controllo totale e l'accesso al dispositivo, è la porta principale che gli aggressori sembrano compromettere.

Non sarai mai in grado di tenere il passo con tutti i tentativi manualmente ed è una perdita di tempo provare. Tuttavia, ci sono un paio di cose che puoi e dovresti fare:

  • Spostare la porta di Internet da 22 a qualcosa di alto. Questo fermerà quasi tutti gli attacchi immediatamente. Il modo più semplice per farlo è nel tuo router. Ma puoi anche usare il firewall IPTABLES di Pi per farlo.
  • Assicurati che root non possa usare SSH, questo dovrebbe essere comunque il default. Se hai bisogno di diritti elevati, usa sudo . Poiché si tratta di un Pi, è necessario disabilitare anche l'utente Pi o almeno impedire a Pi di utilizzare SSH, creare un ID alternativo.
  • Installa fail2ban sul Pi. Questo può essere usato per vietare automaticamente gli indirizzi IP di origine se non riescono a completare un accesso. Se vietate uno qualsiasi di questi IP, diciamo 5 minuti, sarete al sicuro. Assicurati di autorizzare o meno tutti gli indirizzi IP che usi legittimamente o di vietarli solo per un periodo abbastanza breve da non bloccarti da solo se non riesci ad accedere correttamente.
risposta data 01.10.2016 - 15:42
fonte

Leggi altre domande sui tag

In snort alert cosa significano i valori iniziali "07 / 31-16: 19: 48.614462 [**] ..."? Comodo firewall: perché un'app impostata su "bloccato" si trova nello stato "ascolta" nella rete?