Jump to content
stein20

Seguridad SHH bloqueo Por ip sin nada que envidiar a otras ^_^

Recommended Posts

Hola Todos Como Eh estado Molestando en estos días con mi dedicado una y otra vez y eh visto que lo que mas atacan es nuestro puerto de shh con fuerza bruta pues eh buscado y eh encontrado muchas cositas pero entre todas esta encontré una super guía facil de entender y probada por mi xD que ayudara a muchos y a otro les parecerá una burrada pero a lo bien es una excelente opción para evitar un poco los ataques de fuerza bruta a al puerto del ssh sin mas chácharas acá esta

 

 

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

 

Es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos.

 

SSH trabaja de forma similar a como se hace con

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
. La diferencia principal es que SSH usa técnicas de cifrado que hacen que la información que viaja por el medio de comunicación vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión.

 

Ahora entiendo que mediante el protocolo ssh, se puede obtener el completo manejo de una máquina, muchos intentarán robar su contraseña, mediante varios métodos, donde los más comunes son

 

Ataque de fuerza bruta

En

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
, se denomina ataque de fuerza bruta a la forma de recuperar una
Debes iniciar sesión para ver el contenido del enlace en esta publicación.
probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

 

Ataque de diccionario

Un ataque de diccionario es un método de

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
que consiste en intentar con un listado de palabras, probándolas todas hasta dar con la
Debes iniciar sesión para ver el contenido del enlace en esta publicación.
o password. Un ataque de diccionario suele ser más eficiente que un ataque de
Debes iniciar sesión para ver el contenido del enlace en esta publicación.
ya que los usuarios suelen utilizar contraseñas débiles. Tienen pocas probabilidades de éxito con sistemas que utilizan contraseñas fuertes con letras en mayúsculas y minúsculas mezcladas con números.

Existen variantes que comprueban también algunas de las típicas sustituciones (determinadas letras por números, intercambio de dos letras, abreviaciones) así como distintas combinaciones de mayúsculas y minúsculas.

 

En síntesis, dado lo valioso y provechoso de tener acceso ssh a una máquina, muchas personas utilizarán varios métodos para hacerse con acceso a su máquina probando diferentes usuarios y miles de combinaciones de contraseñas.

 

 

Como se 've' un ataque ssh

 

Realizando un análisis en el archivo auth.log

Vemos una entrada como la siguiente

 

Apr 7 17:30:08 servidor sshd[90935]: Invalid user dvp from 59.36.99.246

Apr 7 17:30:11 servidor sshd[90937]: Invalid user cvp from 59.36.99.246

Apr 7 17:30:14 servidor sshd[90940]: User root from 59.36.99.246

 

Evidentemente se trata de un ataque porque

  • Esta intentando ingresar como root
  • Es una dirección IP desconocida
  • Trata de realizar conexiones con diferentes nombres de usuarios

Qué es

Debes iniciar sesión para ver el contenido del enlace en esta publicación.

 

Es un programa o script escrito en lenguaje de programación

Debes iniciar sesión para ver el contenido del enlace en esta publicación.
y su función es prevenir el ataque a el servicio o demonio SSH por métodos como fuerza bruta o diccionario.

 

Muy importante mencionar que DenyHosts NO ES UN FIREWALL o CORTA FUEGOS, ya que únicamente protege el servicio o demonio SSH, SIEMPRE debe de acompañarse de un firewall.

 

Requerimientos

  • Python v2.3 o una versión superior
  • Un servidor sshd con soporte para tcp_wrappers habilitado
Instalación

 

Para la instalación y configuración vamos a indicar los pasos necesarios para Freebsd

 

 

Instalacion:

  • Actualizar el árbol de ports
  • Instalar el port ports/security/denyhosts (make install clean)
Configuración de DenyHosts

 

Añade, en el fichero /etc/rc.conf las líneas:

  • denyhosts_enable="YES"

    syslogd_flags="-c"

La primera línea es para que inicie el programa al iniciar el sistema. La otra es para que syslogd no agrupe mensajes de log repetidos, así sabremos cuantos intentos se han realizado
  • Edite el archivo /etc/hosts.allow y agregar

  • sshd : /etc/hosts.deniedssh : deny

    sshd : ALL : allow

  • Cree el archivo /etc/hosts.deniedssh

  • touch /etc/hosts.deniedssh

    chmod 644 /etc/hosts.deniedssh

    chown root:wheel /etc/hosts.deniedssh

Editando el archivo de configuración de DenyHosts

 

cd /usr/local/etc/denyhosts.conf

 

 

Los primeros parámetros del archivo son la ubicación del archivo que contiene la información de los accesos ssh y la ubicación del archivo que contiene las direcciones ip de las máquinas que no deben tener acceso,los cuales varían según el Sistema Operativo que se utilice, para lo cual el archivo de configuración trae las opciones para cada uno de ellos.

 

Solo se comentarán los cambios que se le hicieron a el archivo, siéntase en la libertad de modificar el archivo a sus necesidades, cada parámetro del archivo esta internamente documentado

 

Nunca vaciar la lista de hosts prohibidos

 

# never purge:

PURGE_DENY =

 

DENY_THRESHOLD_INVALID = 3 <<<<<<----- este es la cantidad que un usuario intentara acceder a tu servidor eso hay que tener lo muy presente

 

ADMIN_EMAIL = [email protected] <<<<<<<----- aca el corre donde te enviaran la ip que acaba de ser bloqueada

 

SMTP_SUBJECT = DenyHosts Report <<<< - acá pues sencillo el correo donde te enviaran la notificación del bloqueo de una ip

 

RESET_ON_SUCCESS = yes <<<<<<<<<------- este es MUY IMPORTANTE significa que al intentar ejemplo 2 veces y te fall entraste a la 3sera vez se borra y empiezan tus intentos desde cero

 

 

Seguidamente, luego de los cambios en el archivo de configuración se debe reiniciar el servicio DenyHost, y ver como se va llenando el archivo de hosts prohibidos :)

 

TIPs para mejorar tu seguridad:

  • Cambiar el puerto estandar (22)donde te conectasal ssh
  • Editar la lista de usuarios que pueden realizar conexiones ssh al equipo
  • Utilizar la autentificación mediante el uso de claves DSA/RSA y no mediante usuario y contraseña.
bueno espero que les ayude muchísimo es muy buena protección para los ataques a puerto ssh

 

sin mas me despido: ^_^

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...