Filtrar SSh por MAC
Aldrin Martoq
amartoq en dcc.uchile.cl
Mar Oct 7 17:48:36 CLT 2008
On Tue, 2008-10-07 at 15:12 -0600, Morenisco wrote:
> On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote:
> [...]
> > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro,
> > si sufres de paranoia, cambiarlo de puerto seria mas efectivo.
> Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222:
> Nota: cambie la IP real por $IP
> 1) Escaneo basico:
> growing:/etc/ssh# nmap $IP
> Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT
> Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com
> (10.157.153.250):
> Not shown: 1708 closed ports
> PORT STATE SERVICE
> 80/tcp open http
> 111/tcp open rpcbind
> 113/tcp open auth
> 222/tcp open rsh-spx
> 902/tcp open iss-realsecure
> 3128/tcp open squid-http
> 8080/tcp open http-proxy
> Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds
> --> Algo con remote shell esta siendo indicado en el puerto 222.
> 2) Le hacemos un telnet al puerto 222:
>
> growing:/etc/ssh# telnet $IP
> Trying 10.157.153.250...
> Connected to 10.157.153.250.
> Escape character is '^]'.
> SSH-2.0-OpenSSH_5.1p1 Debian-2
> ^C^C^C^C^C^C^C
> Connection closed by foreign host.
> Intentar proteger los servicios via esconderlos no sirve, y se le denomina
> "seciruty by obscurity".
No, no te garantiza, pero es un buen filtro: la mayoria de los script kiddies hace lo mismo que hiciste: si lo pones en un puerto no usual como 22222, un nmap normal no lo calza. Si quieres ser realmente quisquilloso, pones DROP en cualquier cosa extran~a y el nmap se demora infinitamente y aburre.
Asi que en mi experiencia, cambiarlo de puerto ha bajado la cantidad de script kiddies a 0, basta revisar los logs.
La parte de paranoia me refiero a que es normal que intenten entrar al puerto 22, ya sea para probar algun usuario/clave tonto o por error; si tienes alguna politica respecto a esto deberias poder dormir tranquilo.
--
Aldrin Martoq <amartoq en dcc.uchile.cl>
http://aldrinvideopodcast.podshow.com/
Más información sobre la lista de distribución Linux