Podsumowanie
Na chronionym przez kilka miesięcy za pomocą DenyHosts systemie wprawdzie nie spadła liczba prób ataków, jednak czas ich trwania skrócił się do mniej niż minuty. Przypuszczalnie po tym czasie dany napastnik kierował się w stronę innego systemu. Nie zanotowano problemów związanych ze stabilnością działania. Widać więc, że DenyHosts nadaje się do szybkiej ochrony. Jednak blokowanie dostępu za pomocą bazującego na zaporze Netfilter modułu recent jest bardziej przewidywalne i niezawodne. Z drugiej strony integracja z istniejącymi już regułami firewalla może okazać się dość trudna.
Crackerzy coraz częściej próbują obejść ograniczenia związane z liczbą dopuszczalnych prób logowania z jednego adresu IP, stosując botnety do przeprowadzania ataków brute force. Każdy bot może wykorzystać maksymalną liczbę nieudanych loginów, zanim jego adres zostanie zablokowany przez system. Poszczególne boty mogą równolegle bądź sekwencyjnie wypróbowywać hasła na jedno lub nawet więcej kont. Przykładowo, w przypadku botnetu składającego się z 10 tysięcy pecetów, atakujący mógłby wypróbować 30 tysięcy haseł w ramach trzech dopuszczalnych prób. Dlatego też istotne jest, aby wybierać hasła trudne do odgadnięcia.
Za pomocą parametru sshd o nazwie MaxStartups można ograniczyć liczbę równoległych połączeń, co przynajmniej pozwala uniknąć dużej liczby jednoczesnych prób logowania. Jeśli jednak boty dokonują prób sekwencyjnie, limitowanie takie nie odnosi żadnego skutku. A poza tym taka metoda wymaga znacznie więcej czasu.
Alternatywnie lub dodatkowo można chronić serwer SSH, zmieniając standardowy numer portu TCP (22) na mniej oczywisty, np. 54321. Z kolei przy zastosowaniu uwierzytelnienia za pomocą klucza publicznego zupełnie eliminujemy zagrożenie atakiem typu brute force. Jest to po prostu najbezpieczniejsza metoda uwierzytelniania. Z drugiej strony jest ona też najmniej elastyczna, ponieważ wymaga zawsze posiadania klucza. Złotym środkiem w tym wypadku mogłyby być hasła jednorazowe – artykuł "Ale to już było i nie wróci więcej…" opisuje, w jaki sposób skonfigurować własny serwer w celu obsługi tej metody.
- Podziel się
