Re: SSH: Brute-force Attacken abfangen?

[Håkan Kaellberg <hk@xxxxxxxxxxx>]

On Wed, Jan 24, 2007 at 11:09:41AM +0100, Michael Lestinsky wrote:
> Ich bekomme taeglich von verschiedenen Systemen Mails mit Logfile-Auszuegen,
> die Brute-force-Attacken via SSH auf (groesstenteils noch nichteinmal exis-
> tierende Accounts) dokumentieren. Mir gehen diese ziemlich auf den
> Senkel. Ich mag es einfach nicht, wenn - bildlich gesporchen - jemand
> vor meiner Haustuer steht und stundenlang mit Feile und Rohlingen versucht
> den passenden Schluessel zu finden.

Ja, so sieht die Welt heute aus:-( Mir wurde es "sehr" deutlich
vor etwa zwei Jahren als ich ein Server aufsetzte. Es hat
nur *5* Minuten gedauert, dann kam es ein Dauerattack aus
Suedostasien. Seit dem habe ich ausschlieslich folgende Loesung
im Einsatz:

    PasswordAuthentication no
    UsePAM no
    PermitRootLogin no

    ( sshd_config fuer OpenSSH )

> Hat irgendjemand ein Rezept oder Ansatz, wie man diese Art von Angriffen 
> elegant und automatisch abwuergen oder zumindest erschweren kann? Als 
> weitere Bordmittel stehen zur Verfuegung: FreeBSD und ipfw. Ich koennte 
> mir vorstellen, dass man die Zahl der eingehenden Verbindungen auf Port 22
> limitiert und gegebenenfalls auf z.B. chargen umleitet, oder Aehnliches.

Die Loesung ist in die Klasse: Login *erheblich* erschweren.

Auf dem Server muss ein dsa/rsa public Key vom Klienten
installiert werden. Dies ist eigentlich einfacherer als
Passwoerter einzufordern, da die Keys sicher und einfach ueber
Email uebermittelt werden koennen. Der Klient kann aber nicht mehr
von beliebiger Rechner an den Server ohne sein secret Key ssh-en.

Lassen uns gemeinsam PasswordAuthentication auf Internetservers
vertreiben! Es *geht* einfach nicht mehr!!!

Gruss:				HÃ¥kan

-- 
HÃ¥kan Kaellberg                    Tel:   +49-6203-92 20 41
Simulina GmbH                     Mail:     hk@xxxxxxxxxxx
Trajanstrasse  8
DE-68526  LADENBURG               <http://www.simulina.se>