Nieuws
image

Word geen SSH brute-force slachtoffer

donderdag 24 mei 2007, 14:39 door Redactie, 23 reacties

De afgelopen maanden is er terecht regelmatig aandacht besteed aan het voorkomen van brute-force aanvallen (1, 2, 3 en 4). Het kraken van eenvoudige wachtwoorden is nog altijd een geliefde manier om servers over te nemen. Artikel nummer vijf over het onderwerp geeft weinig nieuwe inzichten, maar wel een aantal handige tools:

1. Verander het standaard poortnummer.
2. Schakel wachtwoord authenticatie uit.
3. Beperk het aantal verbindingen.
4. Schakel Root toegang uit.
5. Gebruik een van de volgende Anti-Brute-Force Tools:
- SSHDFilter
- Pam_abl
- SSHBan
- IPTables Recent module
- DenyHost
- sshd_entry
- SSHguard

Tips van Security.NL lezers:

"Zet maximum attempts per ip address op 5. Daarna locked het systeem remote login van dat ip."

"Gebruik fail2ban, daemonshield."

"Kies een poort (ver) boven de 10000 want scriptkiddies en scanners scannen meestal niet hoger."

"Login alleen toestaan met een keyfile."

"Verder is het weren van Linux systemen al voldoende om de logs aardig schoon te houden."

"Gewoon de mogelijkheid om met passwords in te loggen uitzetten (zou de standaard config moeten zijn eigenlijk), en je hebt nooit last van dit soort problemen. Password authenticatie is het probleem, dat los je niet om met allemaal geneuzel er omheen, dat los je op door gewoon te stoppen het te gebruiken."

Reacties (23)
24-05-2007, 14:53 door Anoniem
"Verder is het weren van Linux systemen al voldoende
om de logs aardig schoon te houden."

Hoe kom ik er zelf dan op???
24-05-2007, 14:56 door Anoniem
"Login alleen toestaan met een keyfile."
..
"Gewoon de mogelijkheid om met passwords in te loggen
uitzetten (zou de standaard config moeten zijn eigenlijk),
en je hebt nooit last van dit soort problemen. Password
authenticatie is het probleem, dat los je niet om met
allemaal geneuzel er omheen, dat los je op door gewoon te
stoppen het te gebruiken."

Dan moet je altijd je keyfile bij je hebben wat ook weer een
(groot) risico met zich meeneemt...
24-05-2007, 15:38 door root
Het is allemaal gelul. Je moet gewoon geen makkelijk
wachtwoord nemen.
24-05-2007, 15:53 door Walter
Door root
Het is allemaal gelul. Je moet gewoon geen makkelijk
wachtwoord nemen.
Maar dan nog is een moeilijk wachtwoord te kraken via brute force.
Gecombineerd is dit natuurlijk wel het beste, dus en een moeilijk
wachtwoord en een keyfile en een limiet op het aantal failed logins.
24-05-2007, 15:58 door Anoniem

"Verder is het weren van Linux systemen al voldoende om de
logs aardig schoon te houden."
Maar natuurlijk, dat ik daar zelf niet opgekomen was:
iptables -I INPUT -m system --system LINUX -j DROP
24-05-2007, 16:05 door Anoniem
Is al bekend of die scan tools die massaal gebruikt worden
ook een eigen fingerprint hebben om de gebruikte tool te
herkennen? Het lijkt er tot nu toe op dat het vaak dezelfde
tool is die men gebruikt. Lijkt.
24-05-2007, 16:13 door Anoniem
Door Walter
Door root
Het is allemaal gelul. Je moet gewoon geen makkelijk
wachtwoord nemen.
Maar dan nog is een moeilijk wachtwoord te kraken via brute
force.
Gecombineerd is dit natuurlijk wel het beste, dus en een
moeilijk
wachtwoord en een keyfile en een limiet op het aantal failed
logins.

Een lang paswoord bruteforce kraken *over een netwerk* is
praktisch niet mogelijk.
24-05-2007, 16:16 door Anoniem
"Verder is het weren van Linux systemen al voldoende
om de logs aardig schoon te houden."

Het weren van Windows systemen houdt je logs schoner!

Moet je eens kijken in de logs wat die rommel (windows)
allemaal broadcast. Tevens, als je kijkt hoeveel virussen
van windows systemen proberen te propageren is gewoon
belachelijk. Duizenden SQL connectie attempts, NetBIOS
connecties etc etc.
24-05-2007, 16:22 door Anoniem
ja en nee.
een hogere poort nemen helpt.
het aantal pogingen verlagen, helpt ook.
time incremental login, helpt ook.
een iptable rule maken voor access vanuit lan, dat alleen
bepaalde IP's met bijhorend MAC alleen toegang hebben.

en voor WAN, iptable maken met host adres van je ISP. en de
rest blokken.

wat natuurlijk ook helpt, je hele SSH van het WAN afsluiten
,hehe..
24-05-2007, 16:34 door Anoniem
Door Anoniem
"Verder is het weren van Linux systemen al voldoende
om de logs aardig schoon te houden."

Het weren van Windows systemen houdt je logs schoner!

Moet je eens kijken in de logs wat die rommel (windows)
allemaal broadcast. Tevens, als je kijkt hoeveel virussen
van windows systemen proberen te propageren is gewoon
belachelijk. Duizenden SQL connectie attempts, NetBIOS
connecties etc etc.

wat hebben dergelijke broadcasts met ssh te maken?
24-05-2007, 16:47 door [Account Verwijderd]
[Verwijderd]
24-05-2007, 17:20 door Anoniem
Ipt_recent werkt wel aardig. Je zou ook nog port knocking
kunnen gebruiken. Basis login/password regel: minimaal 8
random karakters, alleen encrypted connections, verander het
wachtwoord regelmatig.
24-05-2007, 21:26 door Anoniem
OSSEC HIDS wil ook helpen, toevallig uitgeroepen als nr. 1.
open source tool for the enterprise, door Linux World.

http://www.linuxworld.com/news/2007/031207-top-5-security.html
25-05-2007, 08:13 door Korund
1. Verander het standaard poortnummer.
Ik heb 't sshd poortnummer van mijn thuis-pc al moeten
veranderen in 443 omdat dat het enige poortnummer is dat de
proxy op het werk toestaat voor https CONNECT.
25-05-2007, 16:30 door roedie
Ik vind dit soort artikeltjes zo'n bulls***.

Met een beetje een normaal wachtwoord is een bruteforce
attack al niet te doen over het netwerk.

De poort veranderen zodat een script kiddie ssh niet vind,
vind ik gewoon echt useless. De kans dat een scriptkiddie
via het internet je ssh bruteforced als hij hem wel vind
lijkt mij nihil. Volgens mij is de kans dat iemand
binnenkomt door ssh te bruteforcen echt heel klein als de
beheerder een klein beetje moeite gedaan heeft om te zorgen
dat het systeem beveiligd is met goede wachtwoorden.

Of zijn er onderzoeken die mij tegenspreken? En dan bedoel
ik geen security.nl artikelen maar echt iemand die de moeite
genomen heeft om dit te onderzoeken.
25-05-2007, 17:34 door Anoniem
"Verder is het weren van Linux systemen al voldoende
om de logs aardig schoon te houden."
De stekker uit de server trekken werkt ook.

Door Anoniemwat hebben dergelijke broadcasts
met ssh te maken?
Niks, daarom noemen we het vervuiling.
25-05-2007, 18:37 door Anoniem
Wie kent een aantal goeie tools om lokaal de brute-forcen om
zo passwords te testen van gebruikers op je machine?
26-05-2007, 14:07 door Anoniem
Door Anoniem
Wie kent een aantal goeie tools om lokaal de brute-forcen om
zo passwords te testen van gebruikers op je machine?

o.a. John the ripper (heb hetzelf nog nooit gebruikt)
27-05-2007, 05:16 door [Account Verwijderd]
[Verwijderd]
28-05-2007, 10:31 door Anoniem
Door Anoniem
Wie kent een aantal goeie tools om lokaal de brute-forcen om
zo passwords te testen van gebruikers op je machine?

John the Ripper is om password hashes te kraken :)
Maar daar bij moet je wel een goede single woorden lijst hebben.
een moeilijk password.. PL)*uetcy&%@(*^M:P
Lukt je niet om te bruteforce :)
29-05-2007, 12:04 door Anoniem
Alleen toegang geven in de allow en deny vanaf bepaalde IP's ?
29-05-2007, 19:23 door Anoniem
tcpwrappers, key authentication ipv wachtwoorden, automatisch blocken van
ips die te vaak achter elkaar met de ssh poort connecten, root account toegang
uitschakelen, ervoor zorgen dat je een group aanlegt met users die mogen ssh-
en (AllowGroups), gebruik protocol 2 en geen 1 ... dan zit ie voor een
scriptkiddie toch echt wel dicht.
03-07-2008, 17:41 door Anoniem
Wat ik alleen nog nergens qua tips voorbij heb zien komen is
niet voor de hand liggende usernames.

Ik heb een username die gewoon bijna niet voor komt en in
die kilometers logfile heb ik die nog nooit voor bij zien komen.

En root login staat natuurlijk standaard uit, als je die
open hebt staan vraag je er gewoon om.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure