Tips om brute-force logins af te slaan
Op het internet zijn tal van progamma's te vinden om met "brute kracht" op een server in te loggen. Zolang er nog altijd servers zijn die van eenvoudig te raden wachtwoorden gebruik maken, worden deze tools nog altijd dankbaar gebruikt door computercriminelen. Het Internet Storm Center geeft de volgende tips om brute-force logins af te slaan:
- Zorg ervoor dat je accounts geen eenvoudig te raden wachtwoord hebben. Gebruik een password cracker zoals Jonh the Ripper om te zien hoe sterk ze zijn.
- Gebruik een "one-time" wachtwoord programma of een hardware wachtwoord generator om een uniek wachtwoord te genereren.
- Schakel remote root/Administrator logins op het systeem uit.
- Gebruik op SSH sleutel gebaseerde login voor alle gebruikers, zodat later alle wachtwoord logins uitgeschakeld kunnen worden.
- Draai SSH op een andere poort.
- Ban het IP-adres van tools die proberen een brute-force login te doen.
- Stuur je logs door naar Dshield
- Zorg ervoor dat er alleen vanaf bekende IP-adressen ingelogd worden.
Daarna locked het systeem remote login van dat ip.
btw. SSH draaien op een andere poort is onzin.
SSH draaien op een andere poort is onzin.
Daar geef ik je toch wel ongelijk in. Als je ssh op poort 22
draait heb je natuurlijk meer kans dat de skiddies iets
vinden... het is de kunst van het verbergen.
http://fail2ban.sourceforge.net/wiki/index.php/Main_Page
dit houdt diverse logfiles in de gaten op mislukte
inlogpogingen en kan
vervolgens iptables configureren om het offending ip-adres
te blokkeren voor
een instelbare periode.
Ervoor zorgen dat alleen vanaf bekende ip-adressen ingelogd
mag worden is een goed idee, andere methodes zijn port
knocking (zie b.v.
http://www.portknocking.org/ of Single Packet
Authorization op
http://www.cipherdyne.org/fwknop/
Belangrijkste tip: Zet maximum attempts per ip address op 5.
Daarna locked het systeem remote login van dat ip.
btw. SSH draaien op een andere poort is onzin.
je teminste geen last van scriptkiddo aanvallen :P
drie mislukte login pogingen kun je, via iptables, het
IP-adres blokkeren.
http://sourceforge.net/projects/daemonshield/
echt een goede tip dus.
btw. SSH draaien op een andere poort is onzin.
en hoezo? tuurlijk werkt het niet tegen een gerichte aanval
op je systeem waar men zoekt waar ssh draait. maar perfect
tegen al die automatische aanvallen die alleen op de ssh
poort proberen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.