Oplossing voor veel voorkomende SSH Login aanvallen
Een aantal maanden geleden ontdekte de schrijver van dit artikel dat zijn "secure log" volstond met "Failed password for illegal user [username]" entries. Hij besloot het internet af te zoeken om te zien of ook anderen met dit soort aanvallen te maken hadden. Verschillende op script-gebaseerde oplossingen moesten het probleem oplossen, maar waren niet elegant. De auteur wilde de aanvallen in z'n geheel stoppen, en toch SSH toegang overal vandaan toestaan. Tevens wilde hij een complexe aanpak voorkomen die uiteindelijk voor meer problemen zou zorgen. Het aanbrengen van wat wijzigingen in iptables bleek de oplossing.
knocking' in de praktijk.
Draai SSH gewoon op een andere poort!
manier heb geconfigureerd, en dat je altijd de laatste security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven updaten.
Alleen je huis IP adres + de zaak en eventueel vanaf shell server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een ander
probleem ;-)
Draai SSH gewoon op een andere poort!
op een veilige
manier heb geconfigureerd, en dat je altijd de laatste
security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven
updaten.
Hoezo zou dat geen zin hebben?????? Ze hebben het hier over
script kiddies, je weet wel, die lui wie met scannertjes op
het net bezig zijn..
Nouw.. je wilt wel graag weten of je aanvallers script kids
zijn of dat ze het echt op jouw gemunt hebben. Dus verplaats
je de poort, simpel zat.
Draai SSH gewoon op een andere poort!
op een veilige
manier heb geconfigureerd, en dat je altijd de laatste
security updates hebt.
Lijkt een beetje op Windows, maar ook SSH moet je blijven
updaten.
Hoezo zou dat geen zin hebben?????? Ze hebben het hier over
script kiddies, je weet wel, die lui wie met scannertjes op
het net bezig zijn..
Nouw.. je wilt wel graag weten of je aanvallers script kids
zijn of dat ze het echt op jouw gemunt hebben. Dus verplaats
je de poort, simpel zat.
achter een ander deurtje zit?
Kan je er met een portscan dan niet achter komen dat ssh
achter een ander deurtje zit?
tuurlijk, maar als een script kiddie een heel IP range afzoekt, dan werkt hij
meestal alleen de standaardpoorten af. Alle poorten scannen kost teveel
tijd.
Sinds ik mijn SSH server op poort 1111 heb draaien, wordt ie nauwlijks
meer gescant.
Sinds ik mijn SSH server op poort 1111 heb draaien, wordt ie nauwlijks
meer gescant.
Je wordt altijd gescanned, of je het op een andere poort hebt staan, of niet.
Als je een firewall hebt, zie je in de log dat er een connectie is gemaakt
met poort 22. Misschien dat je zelfs kan zien wat voor type verkeer het was.
Maar je wordt ALTIJD gescanned. Dus wat maakt het dan uit dat je SSH op
poort 22 laat draaien? Zorg voor een veilige installatie van SSH en er is
niks aan de hand. SSH op een andere poort is een schijnveiligheid.
Waarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell
server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een
ander
probleem ;-)
ook wel zo handig om ervoor te zorgen dat ook root-login via
SSH niet kan.
een geldig certificaat gekoppeld aan een username. Als er ingelogd wordt
met een andere username dan wordt de connectie gedropped. Inloggen
met de geldige username lukt alleen als je het geldige certificaat
presenteert. Draai dit op elke poort die je wilt zonder problemen.
Houdt je logfiles toch nog een beetje leesbaar ;-)
Zoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
Waarom SSH voor de wereld open zetten?
Alleen je huis IP adres + de zaak en eventueel vanaf shell
server van je ISP
moet voldoende zijn.
Mocht je er dan nog niet bij komen dan heb je wellicht een
ander
probleem ;-)
ook wel zo handig om ervoor te zorgen dat ook root-login via
SSH niet kan.
Weer niet "mijn" Walter?
Overigens waarom heb je root nodig ?
Sudo is er niet voor niets :-)
Overigens pre-shared keys (en deze via flop/usb stick distributeren) en
passphrase erop en je zit nog veiliger.
aldaniet op een andere port.....
Waarom moet SSH open staan?
Ook al zou je niet kunnen voorspellen vanaf welk ip adres je af komt kan je
nog altijd maatregelen nemen om geen onnodige porten voor de wereld
open te zetten.
Ipsec en hierna ssh'en door de tunnel is een veel betere oplossing, als
ook de hierboven als reeds geschetste oplossingen om alleen IP
adressen toe te staan van "vaste" plekken van waar je af komt.
btw: vroeger had elke ISP een shell bak, een ISP die dat tegenwoordig niet
heeft is vaak een "dozen schuiver" onder de ISP die vaak ook voor de grap
bepaalde porten (ongevraagd en overvemeldt) voor je filtert, zoals port 25
zodat je niet kunt mailen. (althans niet buiten je isp op)
Zoals andere mensen al zeiden, gewoon een andere port nemen..
Houdt je logfiles toch nog een beetje leesbaar ;-)
niks?????
daar zou ik niet teveel op vertrouwen, m.a.w. kijk ook eens
naar de succesvolle login pogingen en vraag je daarbij af of
op dat moment de gebruiker 'legaal' ingelogd is geweest. De
nachtelijk uren bijvoorbeeld zjn vaag, zoveel hart voor de
zaak heeft niemand :-)
paar, al dan niet in de vorm van een certificaat. Mensen dat is DE
oplossing. Je hebt dan iets wat je weet (je password) met iets wat je hebt
(je private key). Dit is de enige echt veilige manier van configureren. Erg erg
vreemd dat al die "security experts" hier dat niet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.