Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
SSH vor Brute-Force-Attacke schützen

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
mr
Gast





BeitragVerfasst am: 06. Aug 2005 17:07   Titel: SSH vor Brute-Force-Attacke schützen

Hi Community,

ich hab in meinen Logs ein paar Attacken entdeckt und wollte nun etwas dagegen unternehmen.
Ich hab es nun mit iptables probiert aber irgendwie funktioniert es nicht:

Code:
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

(gefunden auf: http://www.aumund.org/node/869)

Was mache ich falsch? Confused
 

glaskugelseher
Gast





BeitragVerfasst am: 06. Aug 2005 23:00   Titel:

funktioniert nicht?
jetzt weiss ich alles, achso.
 

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 07. Aug 2005 8:25   Titel: Re: SSH vor Brute-Force-Attacke schützen

mr hat folgendes geschrieben::

...
Code:
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

...
Was mache ich falsch? Confused


Hi,

Du gibst deutlich zu wenige Infos!
Generell: ist das recent Modul vorhanden?
Welche Kernelversion, welche iptables-Version?
Keine Infos in den Logdateien?
Werden die Zeilen bei einem iptables -L aufgeführt?
Solltest Du die SuSE FW2 nutzen: wo hast Du die Zeilen eingefügt?

Und dann gehe ich davon aus, daß am Anfang der Regeln jeweils ein Verweis auf iptables steht ... oder? Also etwas in der Art:
/usr/sbin/iptables -A INPUT -p tcp ...

Weiterhin nehme ich an, daß Du durchaus den Text des geposteten link auch weiter gelesen hast ... sort gibt es nämlich ein Regelupdate:
Code:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j DROP

So ... dann müßte eigentlich nur noch ein Regel für SSH_WHITELIST erstellt werden (etwa /usr/sbin/iptables -N SSH_WHITELIST), und danach die SSH_WHITELIST befüllt werden (/usr/sbin/iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT).
Vergleich auch (obiges angepaßt): http://blog.andrew.net.au/tech/security

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Lateralus
prolinux-forum-admin


Anmeldungsdatum: 05.05.2004
Beiträge: 1238

BeitragVerfasst am: 07. Aug 2005 8:35   Titel:

Verzichte auf den Kram. Leg den sshd auf einen anderen Port als 22, oberhalb der well-known ports und gut. Außerdem kannst du das Einloggen per Passwort mit

Code:
ChallengeResponseAuthentication no


verbieten. Benutze statt dessen host-keys, oder wie das gleich hieß.

Edit: Nochmal zur Portnummer. Noch besser wäre, wenn du den Server auf einen Port legst, welcher nur dynamisch zugewiesen wird und nach /etc/services keine feste Funktion hat. Portscans erfolgen sehr selten auf alle Ports - wer hat schon die Zeit.

nmap scannt zum Beispiel nur irgendwas um die 1600 Ports, wenn man's nicht anders sagt. Vielleicht auch mal in der nmap-Doku nachlesen, ich denke die meisten werden den benutzen.
 
Benutzer-Profile anzeigen Private Nachricht senden

mr
Gast





BeitragVerfasst am: 08. Aug 2005 7:52   Titel:

Auf einen anderen Port legen fällt aus, genauso wie die Anmeldung per host-key.

Ich hab es nun auch hinbekommen.
Am Ende hat einfach noch eine ACCEPT-Regel gefehlt, weil sonst der Port standardmäßig zu wäre.

Code:
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT


Das Problem ist jetzt aber ein anderes:
Der Port wird für jeden gesperrt und nicht nur für die IP, die es betrifft.
 

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 21. Aug 2005 17:59   Titel:

> Auf einen anderen Port legen fällt aus

/etc/ssh/sshd_config:

Code:
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port 30005
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::


Code:
user# su
root# /etc/init.d/sshd restart
root# exit
user# nmap -p 30005 localhost

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-08-21 18:46 CEST
Interesting ports on localhost (127.0.0.1):
PORT      STATE  SERVICE
30005/tcp open unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 0.106 seconds
user#     


MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Feldi
Gast





BeitragVerfasst am: 19. Okt 2006 18:30   Titel: Brute_Force Attacke

Hi
kann mir mal einer einen link sagen wo ich Brute-Force Attacke downloaden kann
Question Question Question Bitte
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy