Oplossing voor veel voorkomende SSH Login aanvallen
Een aantal maanden geleden ontdekte de schrijver van dit artikel dat zijn "secure log" volstond met "Failed password for illegal user [username]" entries. Hij besloot het internet af te zoeken om te zien of ook anderen met dit soort aanvallen te maken hadden. Verschillende op script-gebaseerde oplossingen moesten het probleem oplossen, maar waren niet elegant. De auteur wilde de aanvallen in z'n geheel stoppen, en toch SSH toegang overal vandaan toestaan. Tevens wilde hij een complexe aanpak voorkomen die uiteindelijk voor meer problemen zou zorgen. Het aanbrengen van wat wijzigingen in iptables bleek de oplossing.
Reacties (19)
22-01-2005, 12:44 door
raboof
Een leuk, eenvoudig in te zetten voorbeeld van `port
knocking' in de praktijk.
knocking' in de praktijk.
22-01-2005, 19:47 door
rob
Draai SSH gewoon op een andere poort!
Door rob
Draai SSH gewoon op een andere poort!
Dat heeft niet veel zin. Zorg er "gewoon" voor dat je SSHd op een veilige Draai SSH gewoon op een andere poort!
manier heb geconfigureerd, en dat je altijd de laatste security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven updaten.
Waarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een ander
probleem ;-)
Alleen je huis IP adres + de zaak en eventueel vanaf shell server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een ander
probleem ;-)
23-01-2005, 00:31 door
rob
Door Anoniem
op een veilige
manier heb geconfigureerd, en dat je altijd de laatste
security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven
updaten.
Door rob
Draai SSH gewoon op een andere poort!
Dat heeft niet veel zin. Zorg er "gewoon" voor dat je SSHdDraai SSH gewoon op een andere poort!
op een veilige
manier heb geconfigureerd, en dat je altijd de laatste
security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven
updaten.
Hoezo zou dat geen zin hebben?????? Ze hebben het hier over
script kiddies, je weet wel, die lui wie met scannertjes op
het net bezig zijn..
Nouw.. je wilt wel graag weten of je aanvallers script kids
zijn of dat ze het echt op jouw gemunt hebben. Dus verplaats
je de poort, simpel zat.
Door rob
Hoezo zou dat geen zin hebben?????? Ze hebben het hier over
script kiddies, je weet wel, die lui wie met scannertjes op
het net bezig zijn..
Nouw.. je wilt wel graag weten of je aanvallers script kids
zijn of dat ze het echt op jouw gemunt hebben. Dus verplaats
je de poort, simpel zat.
Kan je er met een portscan dan niet achter komen dat sshDoor Anoniem
op een veilige
manier heb geconfigureerd, en dat je altijd de laatste
security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven
updaten.
Door rob
Draai SSH gewoon op een andere poort!
Dat heeft niet veel zin. Zorg er "gewoon" voor dat je SSHdDraai SSH gewoon op een andere poort!
op een veilige
manier heb geconfigureerd, en dat je altijd de laatste
security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven
updaten.
Hoezo zou dat geen zin hebben?????? Ze hebben het hier over
script kiddies, je weet wel, die lui wie met scannertjes op
het net bezig zijn..
Nouw.. je wilt wel graag weten of je aanvallers script kids
zijn of dat ze het echt op jouw gemunt hebben. Dus verplaats
je de poort, simpel zat.
achter een ander deurtje zit?
Door Anoniem
Kan je er met een portscan dan niet achter komen dat ssh
achter een ander deurtje zit?
Kan je er met een portscan dan niet achter komen dat ssh
achter een ander deurtje zit?
tuurlijk, maar als een script kiddie een heel IP range afzoekt, dan werkt hij
meestal alleen de standaardpoorten af. Alle poorten scannen kost teveel
tijd.
Sinds ik mijn SSH server op poort 1111 heb draaien, wordt ie nauwlijks
meer gescant.
Door Anoniem
Sinds ik mijn SSH server op poort 1111 heb draaien, wordt ie nauwlijks
meer gescant.
Sinds ik mijn SSH server op poort 1111 heb draaien, wordt ie nauwlijks
meer gescant.
Je wordt altijd gescanned, of je het op een andere poort hebt staan, of niet.
Als je een firewall hebt, zie je in de log dat er een connectie is gemaakt
met poort 22. Misschien dat je zelfs kan zien wat voor type verkeer het was.
Maar je wordt ALTIJD gescanned. Dus wat maakt het dan uit dat je SSH op
poort 22 laat draaien? Zorg voor een veilige installatie van SSH en er is
niks aan de hand. SSH op een andere poort is een schijnveiligheid.
24-01-2005, 07:41 door
Walter
Door Anoniem
Waarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell
server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een
ander
probleem ;-)
Precies, dat is de makkelijkere oplossing. Overigens is hetWaarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell
server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een
ander
probleem ;-)
ook wel zo handig om ervoor te zorgen dat ook root-login via
SSH niet kan.
In SSH password authentication uitzetten en alleen inloggen toestaan met
een geldig certificaat gekoppeld aan een username. Als er ingelogd wordt
met een andere username dan wordt de connectie gedropped. Inloggen
met de geldige username lukt alleen als je het geldige certificaat
presenteert. Draai dit op elke poort die je wilt zonder problemen.
een geldig certificaat gekoppeld aan een username. Als er ingelogd wordt
met een andere username dan wordt de connectie gedropped. Inloggen
met de geldige username lukt alleen als je het geldige certificaat
presenteert. Draai dit op elke poort die je wilt zonder problemen.
Zoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
Houdt je logfiles toch nog een beetje leesbaar ;-)
Door Anoniem
Zoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
M.a.w. als er niks in je log voorbij komt, dan gebeurt er niks?????Zoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
Door Walter
ook wel zo handig om ervoor te zorgen dat ook root-login via
SSH niet kan.
Door Anoniem
Waarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell
server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een
ander
probleem ;-)
Precies, dat is de makkelijkere oplossing. Overigens is hetWaarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell
server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een
ander
probleem ;-)
ook wel zo handig om ervoor te zorgen dat ook root-login via
SSH niet kan.
Weer niet "mijn" Walter?
Overigens waarom heb je root nodig ?
Sudo is er niet voor niets :-)
Overigens pre-shared keys (en deze via flop/usb stick distributeren) en
passphrase erop en je zit nog veiliger.
Voor mensen die vinden dat SSH open moet staan voor de hele wereld
aldaniet op een andere port.....
Waarom moet SSH open staan?
Ook al zou je niet kunnen voorspellen vanaf welk ip adres je af komt kan je
nog altijd maatregelen nemen om geen onnodige porten voor de wereld
open te zetten.
Ipsec en hierna ssh'en door de tunnel is een veel betere oplossing, als
ook de hierboven als reeds geschetste oplossingen om alleen IP
adressen toe te staan van "vaste" plekken van waar je af komt.
btw: vroeger had elke ISP een shell bak, een ISP die dat tegenwoordig niet
heeft is vaak een "dozen schuiver" onder de ISP die vaak ook voor de grap
bepaalde porten (ongevraagd en overvemeldt) voor je filtert, zoals port 25
zodat je niet kunt mailen. (althans niet buiten je isp op)
aldaniet op een andere port.....
Waarom moet SSH open staan?
Ook al zou je niet kunnen voorspellen vanaf welk ip adres je af komt kan je
nog altijd maatregelen nemen om geen onnodige porten voor de wereld
open te zetten.
Ipsec en hierna ssh'en door de tunnel is een veel betere oplossing, als
ook de hierboven als reeds geschetste oplossingen om alleen IP
adressen toe te staan van "vaste" plekken van waar je af komt.
btw: vroeger had elke ISP een shell bak, een ISP die dat tegenwoordig niet
heeft is vaak een "dozen schuiver" onder de ISP die vaak ook voor de grap
bepaalde porten (ongevraagd en overvemeldt) voor je filtert, zoals port 25
zodat je niet kunt mailen. (althans niet buiten je isp op)
Door Anoniem
niks?????
Door Anoniem
Zoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
M.a.w. als er niks in je log voorbij komt, dan gebeurt erZoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
niks?????
daar zou ik niet teveel op vertrouwen, m.a.w. kijk ook eens
naar de succesvolle login pogingen en vraag je daarbij af of
op dat moment de gebruiker 'legaal' ingelogd is geweest. De
nachtelijk uren bijvoorbeeld zjn vaag, zoveel hart voor de
zaak heeft niemand :-)
Het valt me op dat er maar 1 iemand begint over een private en public key
paar, al dan niet in de vorm van een certificaat. Mensen dat is DE
oplossing. Je hebt dan iets wat je weet (je password) met iets wat je hebt
(je private key). Dit is de enige echt veilige manier van configureren. Erg erg
vreemd dat al die "security experts" hier dat niet weten.
paar, al dan niet in de vorm van een certificaat. Mensen dat is DE
oplossing. Je hebt dan iets wat je weet (je password) met iets wat je hebt
(je private key). Dit is de enige echt veilige manier van configureren. Erg erg
vreemd dat al die "security experts" hier dat niet weten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?