Nieuws
image

Toename brute-force aanvallen via SSH

maandag 20 april 2009, 11:57 door Redactie, 15 reacties

Het Internet Storm Center waarschuwt voor een toename van het aantal brute-force aanvallen via SSH en adviseert beheerders om inloggegevens van minimaal acht karakters te kiezen. "Als je een SSH-server open aan het internet hebt hangen, en je gebruikersnamen en wachtwoorden zijn minimaal geen acht karakters, dan is je server gehackt of zal dat binnenkort gebeuren", schrijft Daniel Wesemann. Volgens hem zijn er genoeg aanwijzingen dat iemand op deze manier een botnet opzet om zo geld te verdienen.

Security by obscurity
Sommige beheerders gaan creatief met de problematiek om. "Hoe we ons best ook doen, gebruikers blijven slechte wachtwoorden kiezen. Daarom besloten we ze moeilijk te raden gebruikersnamen te geven. Als een gebruikersnaam @455%userid is, dan maakt het niet meer uit hoe slecht zijn wachtwoord is." Wesemann merkt op dat het kiezen van complexe gebruikersnamen en het niet draaien van SSH op poort 22 onder de "security by obscurity" categorie valt. "Feit is dat ze beiden helpen om de stroom van brute-force aanvallen tegen te gaan. Kogelvrij zijn is fijn, maar als het niet mogelijk is, dan is een goede camouflage beter dan een dik doelwit te zijn."

Beheerders die inspiratie zoeken om SSH op de eigen server beter te beveiligen, worden naar deze pagina doorverwezen.

Reacties (15)
20-04-2009, 12:07 door RichieB
Of je gebruikt denyhosts: http://denyhosts.sourceforge.net/
20-04-2009, 12:47 door Anoniem
of fail2ban: http://www.fail2ban.org/
Heb zelf denyhosts nooit geprobeerd!
20-04-2009, 13:02 door Anoniem
denyhosts is idd erg goed
20-04-2009, 13:12 door Anoniem
Maar dit soort aanvallen zag ik 5 jaar geleden al zeer regelmatig. Volgens mij is dit terug van nooit weg geweest.
20-04-2009, 13:18 door Anoniem
Ik gebruik Denyhosts al jaren en heb er goede ervaringen mee. Wel oppassen dat je zelf niet op de blacklist terecht komt door bijv. per ongeluk als een verkeerde user op een systeem aan te loggen! Denyhosts is bij de meeste Linux distributies wel in de softwarebilbliotheek te vinden.
20-04-2009, 14:02 door Anoniem
Het klopt dat dit soort aanvallen al jaren oud zijn, alleen neemt het risico op succesvolle inbraken uiteraard wel toe nu er botnets e.d. gebruikt worden. Die werken bijv. vanaf verschillende IP-adressen (dus alleen daarop filteren is beslist onvoldoende). Mijn suggesties naast goede wachtwoorden:
- Stel SSH remote login op basis van een whitelist in, dus je moet expliciet geautoriseerd zijn;
- Obscurity of niet: overweeg je SSH server op een andere poort te draaien dan 22;
- Controleer of er geen systeemaccounts openstaan voor remote login;
- Gebruik Denyhosts of iets vergelijkbaars en configureer niet te voorzichtig;
- Hiermee samenhangend: filter niet alleen IP-adressen, maar stel ook een vertraging in tussen inlogpogingen. En wordt er gepoogd om als root of als admin e.d. in te loggen: meteen blacklisten (ook al heb je deze accounts natuurlijk al dichtgezet voor remote login...).
20-04-2009, 14:09 door Anoniem
Toch naar een ander poort nummer laten luisteren, baat het niet dan schaad het niet
20-04-2009, 14:10 door wizzkizz
Door Anoniem: Ik gebruik Denyhosts al jaren en heb er goede ervaringen mee. Wel oppassen dat je zelf niet op de blacklist terecht komt door bijv. per ongeluk als een verkeerde user op een systeem aan te loggen! Denyhosts is bij de meeste Linux distributies wel in de softwarebilbliotheek te vinden.
Ik gebruik zelf fail2ban, die iptables gebruikt, ipv denyhosts dat het hosts.deny file gebruikt. Ik heb liever dat aanvallers zo snel mogelijk in de firewall geblokkeerd worden, dan weet ik zeker dat ze geen toegang meer hebben tot het systeem.
Gelukkig heb ik mezelf nog nooit uitgesloten (omdat ik altijd met key's inlog ipv wachtwoorden), maar mocht dat wel gebeuren, mijn fail2ban let en blokkeert alleen maar op poort 22 voor ssh en mijn sshd luistert ook nog op een aantal andere poorten.
20-04-2009, 14:33 door jali
Ik ben het volledig eens met de stelling dat het overwegen van een andere poort dan 22 toch wel de beste en snelste oplossing biedt.
Sinds ik de poort heb gewijzigd (ongeveer 2 jaar geleden) heb ik geen attacks meer gehad op SSH (en ja logs worden gemonitored)
Het enige nadeel is dat de personen welke wel mogen inloggen op de hoogte moeten zijn van het juiste poortnummer. En hier zit nu juist ook de kracht, als een werknemer/klant geen toegang meer mag hebben dan is de poort aanpassen een goede extra security.
20-04-2009, 14:43 door Anoniem
ssh bf-scan's via botnets:

- specifieke attack op username/login (harvested via mail/usenet/irc whatever);
- elk ip# komt maar 1x voor (dus default fail2ban werkt niet (nl 3 mislukte pogingen));

-- port knocking kan helpen;
-- ssh keys helpen.
20-04-2009, 14:48 door Anoniem
Ik gebruik zelf fail2ban, die iptables gebruikt, ipv denyhosts dat het hosts.deny file gebruikt. Ik heb liever dat aanvallers zo snel mogelijk in de firewall geblokkeerd worden, dan weet ik zeker dat ze geen toegang meer hebben tot het systeem.
Gelukkig heb ik mezelf nog nooit uitgesloten (omdat ik altijd met key's inlog ipv wachtwoorden), maar mocht dat wel gebeuren, mijn fail2ban let en blokkeert alleen maar op poort 22 voor ssh en mijn sshd luistert ook nog op een aantal andere poorten.[/quote]
Ik ken fail2ban niet, maar als ik het zo lees dan is Denyhosts een goede optie voor mensen die bijv. NAT hebben draaien op hun ADSL-modem. Fail2ban lijkt me weer wat geschikter voor omgevingen met een meer "open verbinding" naar internet.
20-04-2009, 15:49 door Anoniem
zelf op servers die aan het net hangen zet ik de port om, heb de logs wel bekeken.. van meerdere pogingen per dag (@ poort 22) tot bijna geen enkele poging meer op een andere poort! dat alleen al werkt erg goed, verder met deniehost en je bent toch redelijk afgeschermt, 3 strikes and your out.

oh en preventief filteren helpt ook wel, blacklists van china en dat soort landen er al standaard inzetten gezien je daar toch meestal geen login van verwacht..
21-04-2009, 10:57 door Anoniem
fail2ban werkt prima - ikzelf gebruik het al een tijdje. Probleem met de huidige opzet van SSH bruteforce is dat het een gedistribueerde aanval is: een host probeert maar 1 of 2 keer in te loggen, waarna een andere host het overneemt. Daar kan fail2ban niets mee: omdat zowel het aantal foute pogingen onder de threshold blijft, als dat de volgende poging van een andere host komt...
21-04-2009, 19:07 door Anoniem
Ik gebruik zelf een portknock methode om ssh te beschermen. Werkt erg goed (zie aardig wat drops op de ssh poort zonder vooraf gaande knock), enige nadeel is dat je zeker moet zijn dat de poort waarop je de knock inricht ook open staat vanaf de verbinding waar je vandaan wil komen. Zeker als dat een onbekende locatie is wil dat wel eens voor een probleem zorgen.

Verder uiteraard alleen key-based logins vanaf internet waarbij alleen normale users toegelaten worden.
21-04-2009, 23:18 door Anoniem
Even plotseling dat het begon is het alweer allemaal gestopt met de bruteforce ssh attacks..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search