Re: [Fedora-users-br] Tentativa de Invasão em Servidor
Rafael Gomes
linux.rafa em gmail.com
Terça Junho 3 22:55:01 UTC 2008
Não precisa colocar em todos servidores. Já que geralmente eles participam
de uma rede local. Uma vez a conexão vpn estabelecida, terá acesso a todos
eles.
Senão for implementado algo como Port Knocking ou afins... simplesmente
colocar senha forte ou mudar a porta do ssh não resolve um problema
clássico. Brutal Force! Algo que depende apenas de tempo e processamento do
atacante.
Com conexão vpn via troca de certificado diminui e muito o problema com a
segurança. Isso sem falar que não é tão complicado!
Até!
2008/6/3 Cristiano Furtado <jasonnfedora em gmail.com>:
> que o que rafael??? não vejo necessidade de criar em todos os
> servidores vpn para acesso remoto hehehe. Acho que seria somente criar
> segurança no proprio ssh. A inclusive o proprio ssh tem protocolos que
> funcionam tipo vpns pelo que li recentemente.
>
> 2008/6/3 Rafael Gomes <linux.rafa em gmail.com>:
> > Eu ainda sou afavor de vpn! Simples e direta! Openvpn! Tranquilidade com
> um
> > certificado de 2048! Pronto! :D
> >
> > 2008/6/2 André Felício <andre em felicio.com.br>:
> >>
> >> Rau,
> >>
> >> > É um ataque de força bruta em SSH, "campeão de audiência" na internet
> >> > brasileira (veja
> >> > http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
> >>
> >> Campeão mesmo...
> >>
> >> > São robots que vasculham a internet atrás de portas 22 abertas e
> quando
> >> > acham, ficam tentando encontrar a senha usando palavras de dicionário
> e
> >> > outras combinações (ella, elle, consuella, etc, conforme mostra teu
> >> > log).
> >> > Se você usa senhas fortes, o risco de sucesso do ataque é menor.
> >> >
> >> > Se você não precisa do SSH, desabilite o deamon.
> >>
> >> Uma boa pedida é um simples port-knock,
> >>
> >> Exemplo alterando o script gerado pelo system-config-firewall:
> >>
> >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22
> --state
> >> NEW -j ACCEPT --rcheck --name SSH
> >>
> >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599
> >> --state
> >> NEW -j DROP --name SSH --remove
> >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600
> >> --state
> >> NEW -j DROP --name SSH --set
> >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601
> >> --state
> >> NEW -j DROP --name SSH --remove
> >>
> >>
> >> Assim a porta 22 sempre estara fechada.
> >> Para abrir basta qualquer tentativa de conexão na porta 1600 e para
> >> fecha-la
> >> basta outra tentativa de conexão nas portas 1599/1601.
> >>
> >> Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso
> >> algum
> >> script tente varrer as portas abertas ele ira abrir a automaticamente
> >> fechar
> >> a 22.
> >>
> >> --
> >> Att,
> >>
> >> André Felício
> >> http://www.felicio.com.br
> >>
> >> It's ten o'clock. Do you know where your source code is?
> >>
> >> --
> >> Fedora-users-br mailing list
> >> Fedora-users-br em redhat.com
> >> https://www.redhat.com/mailman/listinfo/fedora-users-br
> >>
> >
> >
> >
> > --
> > Rafael Gomes
> > Consultor em TI
> > Embaixador Fedora
> > (71) 8146-5772
> > --
> > Fedora-users-br mailing list
> > Fedora-users-br em redhat.com
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> >
> >
>
>
>
> --
> Cristiano Furtado
> Gerente de TI - Projetos de Software Livre
> Embaixador do Fedora no Brasil
>
> Sites:
> http://www.projetofedora.org
> http://www.jasonnfedora.eti.br
> http://www.fedora.org.br
> http://www.ekaaty.com.br
>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
--
Rafael Gomes
Consultor em TI
Embaixador Fedora
(71) 8146-5772
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20080603/cd2a5550/attachment.html
Mais detalhes sobre a lista de discussão br-users