Filtrar SSh por MAC

[Aldrin Martoq]

On Tue, 2008-10-07 at 15:12 -0600, Morenisco wrote:
> On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote:
> [...]
> > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro,
> > si sufres de paranoia, cambiarlo de puerto seria mas efectivo.
> Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222:
> Nota: cambie la IP real por $IP
> 1) Escaneo basico:
> growing:/etc/ssh# nmap $IP
> Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT
> Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com
> (10.157.153.250):
> Not shown: 1708 closed ports
> PORT     STATE SERVICE
> 80/tcp   open  http
> 111/tcp  open  rpcbind
> 113/tcp  open  auth
> 222/tcp  open  rsh-spx
> 902/tcp  open  iss-realsecure
> 3128/tcp open  squid-http
> 8080/tcp open  http-proxy
> Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds

> --> Algo con remote shell esta siendo indicado en el puerto 222.
> 2) Le hacemos un telnet al puerto 222:
> 
> growing:/etc/ssh# telnet $IP
> Trying 10.157.153.250...
> Connected to 10.157.153.250.
> Escape character is '^]'.
> SSH-2.0-OpenSSH_5.1p1 Debian-2
> ^C^C^C^C^C^C^C
> Connection closed by foreign host.
> Intentar proteger los servicios via esconderlos no sirve, y se le denomina
> "seciruty by obscurity".

No, no te garantiza, pero es un buen filtro: la mayoria de los script kiddies hace lo mismo que hiciste: si lo pones en un puerto no usual como 22222, un nmap normal no lo calza. Si quieres ser realmente quisquilloso, pones DROP en cualquier cosa extran~a y el nmap se demora infinitamente y aburre.


Asi que en mi experiencia, cambiarlo de puerto ha bajado la cantidad de script kiddies a 0, basta revisar los logs.


La parte de paranoia me refiero a que es normal que intenten entrar al puerto 22, ya sea para probar algun usuario/clave tonto o por error; si tienes alguna politica respecto a esto deberias poder dormir tranquilo.



-- 
Aldrin Martoq <amartoq en dcc.uchile.cl>
http://aldrinvideopodcast.podshow.com/