Re: SSH: Brute-force Attacken abfangen?

Autor: Håkan Källberg <hk_at_simulina.se>
Datum: 24.01.2007
On Wed, Jan 24, 2007 at 11:09:41AM +0100, Michael Lestinsky wrote:
> Ich bekomme täglich von verschiedenen Systemen Mails mit Logfile-Auszügen,
> die Brute-force-Attacken via SSH auf (größtenteils noch nichteinmal exis-
> tierende Accounts) dokumentieren. Mir gehen diese ziemlich auf den
> Senkel. Ich mag es einfach nicht, wenn - bildlich gesporchen - jemand
> vor meiner Haustür steht und stundenlang mit Feile und Rohlingen versucht
> den passenden Schlüssel zu finden.

Ja, so sieht die Welt heute aus:-( Mir wurde es "sehr" deutlich
vor etwa zwei Jahren als ich ein Server aufsetzte. Es hat
nur *5* Minuten gedauert, dann kam es ein Dauerattack aus
Südostasien. Seit dem habe ich ausschlieslich folgende Lösung
im Einsatz:

    PasswordAuthentication no
    UsePAM no
    PermitRootLogin no

    ( sshd_config für OpenSSH )

> Hat irgendjemand ein Rezept oder Ansatz, wie man diese Art von Angriffen 
> elegant und automatisch abwürgen oder zumindest erschweren kann? Als 
> weitere Bordmittel stehen zur Verfügung: FreeBSD und ipfw. Ich könnte 
> mir vorstellen, dass man die Zahl der eingehenden Verbindungen auf Port 22
> limitiert und gegebenenfalls auf z.B. chargen umleitet, oder Ähnliches.

Die Lösung ist in die Klasse: Login *erheblich* erschweren.

Auf dem Server muß ein dsa/rsa public Key vom Klienten
installiert werden. Dies ist eigentlich einfacherer als
Passwörter einzufordern, da die Keys sicher und einfach über
Email übermittelt werden können. Der Klient kann aber nicht mehr
von beliebiger Rechner an den Server ohne sein secret Key ssh-en.

Lassen uns gemeinsam PasswordAuthentication auf Internetservers
vertreiben! Es *geht* einfach nicht mehr!!!

Gruß:				Håkan

-- 
Håkan Källberg                    Tel:   +49-6203-92 20 41
Simulina GmbH                     Mail:     hk@simulina.se
Trajanstraße  8
DE-68526  LADENBURG               <http://www.simulina.se>


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn


Received on Wed Jan 24 12:05:03 2007

Dieses Archiv wurde generiert von hypermail 2.1.8.

Weitere Links: