¿Vale la pena correr?falla2ban,filtro sshd o herramientas similares, ¿qué direcciones IP en la lista negra intentan y no pueden iniciar sesión?
lo he visto argumentadoque se trata de un teatro de seguridad en un servidor "debidamente protegido". Sin embargo, creo que probablemente haga que los script kiddies pasen al siguiente servidor de su lista.
Digamos que mi servidor está "debidamente protegido" y no me preocupa que un ataque de fuerza bruta realmente tenga éxito. ¿Estas herramientas simplemente mantienen limpios mis archivos de registro o obtengo algún beneficio que valga la pena al bloquear los intentos de ataque de fuerza bruta?
Actualizar: Muchos comentarios sobre la adivinación de contraseñas por fuerza bruta. Mencioné que no estaba preocupado por esto. Quizás debería haber sido más específico y preguntar si fail2ban tenía algún beneficio para un servidor que solo permite inicios de sesión ssh basados en claves.
Respuesta1
Limitar la velocidad de los intentos de inicio de sesión es una manera fácil de prevenir algunos de los ataques de adivinación de contraseñas de alta velocidad. Sin embargo, es difícil limitar los ataques distribuidos y muchos se ejecutan a un ritmo lento durante semanas o meses. Personalmente prefiero evitar el uso de herramientas de respuesta automática como fail2ban. Y esto se debe a dos razones:
- Los usuarios legítimos a veces olvidan sus contraseñas. No quiero prohibir el acceso a mi servidor a usuarios legítimos, lo que me obligará a habilitar sus cuentas manualmente nuevamente (o peor aún, intentar averiguar cuál de las 100/1000 direcciones IP prohibidas es la suya).
- Una dirección IP no es un buen identificador para un usuario. Si tiene varios usuarios detrás de una única IP (por ejemplo, una escuela que ejecuta NAT en 500 máquinas de estudiantes), un solo usuario que haga algunas conjeturas erróneas puede llevarlo a un mundo de dolor. Al mismo tiempo, la mayoría de los intentos de adivinar contraseñas que veo están distribuidos.
Por lo tanto, no considero que fail2ban (y herramientas de respuesta automatizadas similares) sea un muy buen enfoque para proteger un servidor contra ataques de fuerza bruta. Una regla simple de IPTables configurada para reducir el spam de registros (que tengo en la mayoría de mis servidores Linux) es algo como esto:
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Evita más de 4 intentos de conexión desde una sola IP a ssh en cualquier período de 60 segundos. El resto se puede solucionar asegurándose de que las contraseñas sean razonablemente seguras. En servidores de alta seguridad, obligar a los usuarios a utilizar la autenticación de clave pública es otra forma de dejar de adivinar.
Respuesta2
Herramientas como fail2ban ayudan a reducir el tráfico de red innecesario y a mantener los archivos de registro un poco más pequeños y limpios. No es una gran solución para la seguridad, pero facilita un poco la vida del administrador de sistemas; Es por eso que recomiendo usar fail2ban en sistemas donde puedas permitírtelo.
Respuesta3
No se trata sólo de reducir el ruido: la mayoría de los ataques ssh intentan adivinar las contraseñas por fuerza bruta. Entonces, si bien verá muchos intentos fallidos de ssh, tal vez para cuando llegue el intento número 2034, puedan obtener un nombre de usuario/contraseña válido.
Lo bueno de fail2ban en comparación con otros enfoques es que tiene un efecto mínimo en los intentos de conexión válidos.
Respuesta4
Lo siento, pero diría que su servidor está adecuadamente protegido si su sshd rechaza los intentos de autenticación con contraseñas.
PasswordAuthentication no