Re: Securing sshd against unwanted login attempts

From: Erik Norgaard (none@norgaard--locolomo.org.lh.bsd-dk.dk)
Date: Sun 31 Oct 2004 - 14:02:12 CET

Next message: Flemming Frøkjær: "Re: Securing sshd against unwanted login attempts"
Previous message: Flemming Frøkjær: "Securing sshd against unwanted login attempts"
In reply to: Flemming Frøkjær: "Securing sshd against unwanted login attempts"
Next in thread: Flemming Frøkjær: "Re: Securing sshd against unwanted login attempts"
Reply: Flemming Frøkjær: "Re: Securing sshd against unwanted login attempts"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Sun, 31 Oct 2004 14:02:12 +0100
From: Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Securing sshd against unwanted login attempts

Flemming Frøkjær wrote:
> In the last week we have Had several posts regarding protecting sshd
> from unwanted login attempts. I did find a interesting solution a
> couple of months ago.

Denne løsning løser intet. Nu vil du så se en masse forsøg på at gætte
port-knocking sekvensen. Det har jo sådan set ikke rigtig løst dit
problem, det har bare erstattet det med et andet.

Problemet er at med port-knocking er koden ikke individuel, og den kan
ikke krypteres. Da koden ikke er individuel kan du ikke kompensere for
manglende kryptering ved at bruge engangs koder. Så får du istedet et
problem med at distribuere den næste kode. Nå ja, så kan du sende en
krypteret e-mail til alle brugere eller give webadgang via en krypteret
forbindelse så man kan hente den seneste port-knocking sekvens, osv...

I virkeligheden er det bare at lægge password til password til password.
Security by obscurity. Og hver gang har du øget ricikoen for at brugere
vil vælge nemme passwords for at lette besværret.

Hvis du gerne vil slippe for scriptkidies der forsøger brute-force
angreb på standard porte, så kan du:

1) Flytte din ssh til en anden port. nmap scanner per default ikke alle
65000 porte: "The default is to scan all ports between 1 and 1024 as
well as any ports listed in the services file which comes with nmap."

2) Lave en dedikeret login-server på et separat netværk hvorfra man kan
logge videre ind på andre servere eller firewallen. Den væsenligste
(eneste?) gevinst er at din firewall kan forblive stealth set fra
internettet.

3) Etablere IPSec VPN og tunnle whatever. IPSec kører på IP laget, proto
ESP/AH.

4) Hvis du ved at angreb kommer fra Brasilien og du ved du ikke har og
aldrig vil få brugere der skal logge ind fra Brasilien så blokkér Brasilien.

Hygge, Erik

-- 
Ph: +34.666334818                                  web: www.locolomo.org
S/MIME Certificate: http://www.locolomo.org/crt/2004071206.crt
Subject ID:  A9:76:7A:ED:06:95:2B:8D:48:97:CE:F2:3F:42:C8:F2:22:DE:4C:B9
Fingerprint: 4A:E8:63:38:46:F6:9A:5D:B4:DC:29:41:3F:62:D3:0A:73:25:67:C2

Next message: Flemming Frøkjær: "Re: Securing sshd against unwanted login attempts"
Previous message: Flemming Frøkjær: "Securing sshd against unwanted login attempts"
In reply to: Flemming Frøkjær: "Securing sshd against unwanted login attempts"
Next in thread: Flemming Frøkjær: "Re: Securing sshd against unwanted login attempts"
Reply: Flemming Frøkjær: "Re: Securing sshd against unwanted login attempts"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:44 CET