[sage] ssh-angriffe haeufen sich ...

Joerg Mertin smurphy at solsys.org
Thu Apr 24 22:55:42 CEST 2008 

naja - ich habe da ein mehrstufiges Konzept.
Als ich frueher rein Shorewall eingesetzt habe - hat fwdb (mein Daemon)
die ulog Eintraege ausgewertet und bei 3 Verbindungen innerhalb 1 Minute
habe ich die IP Addresse der Dynamischen Blacklist uebergeben und ein
Eintrag in der Blacklistdb gemacht.
Zusaetzlich hat das System die Logdateien eingesehen, und nach wrong
password oder user unknown gesucht. Wenn login root aufgetaucht ist -
keine Grace period - dann sofort eine Sperre.

Dazu hat das System eine Mail geschickt mit aktuellem Whois eintrag -
nur um zu sehen - woher das zeugs kommt, und die IP-Addresse in die
/etc/hosts.deny eingetragen. Ist auch eine kleine zusatzsicheheitshuerde

Das neue System arbeitet aehnlich (routerOS von Mikrotik) nach demselben
Prinzip - allerdings geht es hier nicht mehr in die Datenbank, sondern
wird nur Lokal im routerOS dynamischen speicher selbst gehalten.

Mein Grundsatz ist wie folgt. Die eingesetzten Passwoerter sind relativ
Sicher. D.h. wenn ich selbst nach dem 3ten Versuch es nicht schaffe mein
Passwort richtig einzugeben - dann bin ich zu "besoffen" - und dann ist
es eh gefaehrlich dass ich auf die systeme zugreife ;)
Meistens benutze ich eh X509 Zertifikate um mich anzumelden - aber die
habe ich auch nicht immer Parat. Darum die Vielfalt.
Ich gehe halt davon aus - dass auch das ssh-subsystem eine
Sicherheitsluecke darstellt - und sichere es so ab - dass die sicherheit
nicht nur vom sshd selbst abhaengt.

Allerdings kann ich von diversen Einsatzorten kein Portknocking
einsetzen, da port gesperrt, und manchmal nur port 22 fuer ssh - da
alles andere gesperrt. Darum der einsatz von Port 22.

Ich hatte das Frueher mal mittels openvpn abgeriegelt - aber selbst da
habe ich bei paranoiden Firewall Umgebungen (Wenn ich mal bei einer
Bank, sicherheitsbehoerde etc. taetig bin) Probleme rauszukommen und
hatte dadurch keine Moeglichkeit an die Systeme zu galangen...
Darum bin ich dazu ueberegangen, dies in kauf zu nehmen - und so
abzusichern - dass ich hier mehrere Stufen im Einsatz habe um meine
Systeme abzusichern.



Andreas Jellinghaus wrote:
> Am Donnerstag, 24. April 2008 11:32:39 schrieb Benedikt Stockebrand:
>> auch wenn das jetzt Gefahr läuft, einen Flame War loszutreten: Wenn
>> ich durch einen anderen Port oder ähnliches frühzeitig sicherzustelle,
>> dass nur noch ein Bruchteil solcher Script-Angriffe stattfindet, dann
>> reduziere ich damit die Anzahl von Fehlalarmen, das heisst ich habe
>> mehr Zeit, um mich um ernstzunehmendere Angriffe zu kümmern.
> 
> Da will ich doch mal in die Gruppe nachfragen:
> Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
> 
> Mich wundert hier der Begriff "Fehlalarm", da ich da keinen alarm
> auslösen würde - passiert doch leider viel zu oft. Statistisch kann
> man das beobachten, und auf massive angriffe reagieren.
> aber jedes script kiddy oder bot, der schaut ob "root" vielleicht das passwort
> "root" hat? scheint mir ein wenig viel aufwand.
> 
> Ist nicht eine Situation wünschenswert, in dem man das grundrauschen durch
> port scans, login versuche etc. einfach ignoriert und nur statistisch 
> beobachtet?
> 
> Tschüss, Andreas
> 
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage


-- 
------------------------------------------------------------------------
| Joerg Mertin              :  smurphy at solsys.org                (Home)|
| in Forchheim/Germany      :  smurphy at linux.de                  (Alt1)|
| Stardust's LiNUX System   :                                          |
| Web: http://www.solsys.org                                           |
------------------------------------------------------------------------
PGP: Public Key Server - Get "0x98885d97170b8b7a"

More information about the SAGE mailing list