[LUG.ro] De DNS y reforzar seguridad en servicio ssh

"Sebastián D. Criado" sebastian.criado en gmail.com
Jue Dic 17 19:55:48 ARST 2009


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 17/12/09 18:36, Sebastian Dominguez escribió:
[...]
|>
|> iptables limit hace poco contra de los ataques de fuerza bruta
|> si los mismos son tan lentos que no los frenas con esa herramienta. Se
|> puede intentar muy lentamente y no te darías cuenta.
|> En cambio si mete mal la clave, se lo filtra y listo.
|>
|
| Yo hable de AllowUsers, por lo general no hablo de lo que no conozco
| hasta que lo investigo.

Que bueno, yo tampoco. :)

|
| Un ataque por fuerza bruta tan lento no tiene demasiado sentido. Si
| averiguar una clave de 6 caracteres le lleva un año y vos cambias la
| pass por mes... por citar un ejemplo.

Concuerdo, lo que pasa es que generalmente los usuarios no siguen las
buenas practicas de seguridad. Es más, es sabido en el ambiente que la
capa 8 es la más dificil a la hora de brindar seguridad a la
información. La mayoría de los usuarios no cambia las password por mes y
se requiere poner mecanismos automatizados los cuales, a menudo, son
retirados a pedido del "que paga" por que "molesta". Pero concuerdo que
si tomas esa medida será menos posible un ataque.

|
| AllowUser es un parámetro mas administrativo. A mi entender poco
| proactico. Si tenes cuetna en el sistema, seguro necesitas ssh. si el
| usuario no necesita shell, no debería tenerla definida en passwd.

No solo es por los usuarios (humanos) si no por los de sistema.
En las auditorías en visto sistemas comprometidos por ssh por usuarios
de sistema como postgresql.

|
| Por ultimo, volviendo al limit. Los robots que estan dando vueltas
| prueban ips al azar si encuentrn el puerto cerrado no vuelven a
| intentar en 15 minutos ;)

Me parece que es demasiado taxativo lo que indicas (lo de los 15
minutos). Pueden tardar 15, 20, 1, lo que sea, más si hago el mío
propio. Ahora, si lo que queres indicar que la mayoría (estadística que
no tengo) o que los más populares tardan eso, ya sería otro cantar.
A mi me preocupan los que PUNTUALMENTE quieren ingresar a un sistema y
se preocupan por investigar COMO hacerlo. Los sistemas automatizados que
vos haces mención y que están al alcance de cualquier niño son más
simples de detener.


| Puedo facilitarte estadisticas de como han disminuido los ataque con
| esta practica.
|

No dudo de la eficacia del limit. Pero también digo que no es suficiente
y que se requiere una serie de múltiples capas para tener un nivel más
elevado de seguridad. La seguridad no puede ser tomada como una CAJA que
se ofrece a alguien. Se requiere ver puntualmente cual es la situación y
todas son distintas, no existen dos problemas de seguridad iguales. Pero
entrar en esa discusión es tener que abrír otro hilo y en otra lista ;)

Con gusto, por supuesto, acepto que me envíes las estadísticas en privado.

Saludos.-


- --
Sebastian.Criado en gmail.com - GPG: 1024D/7D98DF14
37E4 246A F17B 689F 9F2D|counter.li.org: #146768
0578 B1AA 8CDB 7D98 DF14|http://www.lugro.org.ar
http://noalamatricula.wordpress.com/about/ read!
"Si  el Universo fuera un programa estaría hecho
en C, y correría sobre un sistema UNIX" Anónimo.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAksqqN8ACgkQsaqM232Y3xSzXgCfZ77Xe8M8L0T4fm4pcOjC9K28
D5wAn3e/EzPEAIbT4RRULfNs42gchmHV
=NwOK
-----END PGP SIGNATURE-----


Más información sobre la lista de distribución Lugro