ssh brute force attack blocker ?

Rund um die Sicherheit des Systems und die Applikationen
mav1000
Posts: 30
Joined: 2003-05-16 16:55
Location: Mönchengladbach

ssh brute force attack blocker ?

Post by mav1000 » 2005-07-25 19:28

Hallo zusammen,

kennt jemand dieses Tool :?:

http://www.csc.liv.ac.uk/~greg/sshdfilter/

setzt das jemand :?: produktiv ein

Gruß

Joachim

velo
Posts: 111
Joined: 2003-01-11 02:51

Re: ssh brute force attack blocker ?

Post by velo » 2005-07-27 03:07

Ich kenne das tool nicht, glaube auch dass es nicht notwendig ist.

Per iptables kannst du ein limit auf ssh einführen (so mache ich das) ... dass zb nur 3 Verbindungen pro Minute aufgebaut werden dürfe (das sollte mir doch reichen ;-) ... das interessante hierbei ist, dass die vielen Brutforcer dann recht schnell weiterziehen, wenn sie merken, dass sie nur zb alle 20 Sekunden zum Zuge kommen.

Ansonsten verwende unbedingt ssh-Schlüssel und nicht den Login per User+Passwort, dann haben Brutforcer sowieso keine Chance.

g4m813r
Posts: 16
Joined: 2004-11-11 23:09

Re: ssh brute force attack blocker ?

Post by g4m813r » 2005-07-27 11:41

Hi,

kannst du das mal genauer erläutern wie man das mit IP Tables macht?
Habe auch momentan dass Problem dass wie verrückt auf meinen Server gebrutet wird.
Wie ist das eigentlich wenn ich pings blocke? Da dürften die doch im Vorfeld schon gar nichts versuchen oder?

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: ssh brute force attack blocker ?

Post by bungeebug » 2005-07-27 11:46

G4m813R wrote:Hi,

kannst du das mal genauer erläutern wie man das mit IP Tables macht?
Habe auch momentan dass Problem dass wie verrückt auf meinen Server gebrutet wird.
Wie ist das eigentlich wenn ich pings blocke? Da dürften die doch im Vorfeld schon gar nichts versuchen oder?
vll. überschläfst du nochmal deine Idee.

"man iptables" soll helfen :)

chaosad
Posts: 137
Joined: 2005-05-06 15:48

Re: ssh brute force attack blocker ?

Post by chaosad » 2005-07-27 11:49

am besten den root login deaktivieren. Wenn dann noch die Passwörter einigermaßen sicher sind und ssh nur für nen bestimmten IP Bereich offen sind sollte das ausreichen :)

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: ssh brute force attack blocker ?

Post by standbye » 2005-07-27 12:25

nimm statt Passwort das Key verfahren und sie können so viel Brutforcen wie sie wollen :)

g4m813r
Posts: 16
Joined: 2004-11-11 23:09

Re: ssh brute force attack blocker ?

Post by g4m813r » 2005-07-27 14:38

son nub wie ich schaffts noch sich selbst auszusperren ;)
gibts dafür irgendwo nen howto oder so?

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: ssh brute force attack blocker ?

Post by static » 2005-07-27 14:57

Hi
Ich hab vor Ewigkeiten mal ein HowTo geschrieben, in dem dieses Thema vorkam:

http://www.rootforum.org/forum/viewtopic.php?t=12390

Ansonsten dürfte Google massenweise dazu ausgeben und in der FAQ ist, glaube ich, sogar auch noch ein Beitrag.

.static

legato
Posts: 115
Joined: 2004-06-03 12:40

Re: ssh brute force attack blocker ?

Post by legato » 2005-07-27 18:36


g4m813r
Posts: 16
Joined: 2004-11-11 23:09

Re: ssh brute force attack blocker ?

Post by g4m813r » 2005-07-28 10:12

Hab das jetzt nach statics howto gemacht. Nur als ich vor der Stelle war wo man sich aussperren kann ging login nicht. Habe dann alles wieder Rückgängig gemacht, also ssh config wieder geändert, sshd reloaded und die keys gelöscht. Dann kam ich nicht mehr in die Console, sshd restart gemacht und jetzt gehts wieder. Das HowTo war mir eh nicht ganz schlüssig.

Wie stell ich son login delay ein dass man nur alle x minuten oder so einloggen darf?

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: ssh brute force attack blocker ?

Post by squize » 2005-07-28 14:16

Dieses Feature bringt nur die kommerzielle Version von sshd, soweit ich weiss.
Als Alternative kannst du das Skript von Alexander nehmen.

Ich habe einfach den Port von sshd verlegt. Bringt zwar vom Sicherheitsstandpunkt rein gar nichts, hält mir aber die Logs sauber, solange es nicht alle machen und die Sriptkiddies ihre Tools soweit aufbohren, dass sie auch auf anderen Ports testen.

Ausserdem kannst dich mit solch einem Feature auch selbst ausblocken. Wenn jemand verhindern will, dass du dich auf deiner Kiste einloggst, dann sendet er permanent Loginversuche und wird natürlich geblockt. Die Folge ist aber, das auch du geblockt wirst. Macht also nur Sinn, wenn du die IP berücksichtigst, wie Alex Skript.


Gruss

Marc

mr. pink
Posts: 13
Joined: 2004-10-06 15:07

Re: ssh brute force attack blocker ?

Post by mr. pink » 2005-07-29 03:07


alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: ssh brute force attack blocker ?

Post by alexander newald » 2005-07-29 03:29

Hm, aber da blocket man ja auch alle normalen SSH Connects?

mr. pink
Posts: 13
Joined: 2004-10-06 15:07

Re: ssh brute force attack blocker ?

Post by mr. pink » 2005-07-29 04:21

So wie ich das verstanden habe ist das auch ip basiert.

bfal
Posts: 68
Joined: 2002-07-07 15:12
Location: Lüneburg

Re: ssh brute force attack blocker ?

Post by bfal » 2005-07-29 08:05

Also ich setze seit einiger Zeit http://sourceforge.net/projects/denyhosts/ ein, welches als Daemon laufen kann. Hier werden die Zugriffe über hosts.deny gesperrt, was bei mir super funktioniert.
Ist halt auch eine Variante ;)

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

IPTables mit recent-Modul rult ;-)

Post by ffl » 2005-07-30 05:19

Hi,

ich setze nun erfolgreich die IPTables-Lösung mit recent-Modul und IP-basierter Sperrung ein: http://nodomain.cc/archives/190-SSH-Bru ... oppen.html

Einrichtung war sehr einfach, musste mir "nur" den Kernel neu bauen (Module)... :roll:

mr. pink
Posts: 13
Joined: 2004-10-06 15:07

Re: ssh brute force attack blocker ?

Post by mr. pink » 2005-07-30 14:28

Sehr schön :-D Werde das gleich mal ausprobieren.

Kannst du vielleicht noch dazuschreiben was man für Module benötigt?

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: ssh brute force attack blocker ?

Post by ffl » 2005-07-31 17:10

Bitteschön:

Code: Select all

root@pluto:~/bin# lsmod
Module                  Size  Used by
ipt_ULOG                5476  -
ipt_state                720  -
ip_conntrack           31464  -
ipt_REJECT              4976  -
ipt_LOG                 5520  -
ipt_recent              8252  -
iptable_filter          1328  -
ip_tables              15680  -
Das sollten alle sein.