¿Vale la pena ejecutar fail2ban , sshdfilter o herramientas similares, que enumeran las direcciones IP que intentan y no pueden iniciar sesión?
Lo he visto argumentar que esto es un teatro de seguridad en un servidor "debidamente protegido". Sin embargo, creo que probablemente haga que los kiddies de script pasen al siguiente servidor de su lista.
Digamos que mi servidor está "debidamente protegido" y no me preocupa que un ataque de fuerza bruta realmente tenga éxito: ¿estas herramientas simplemente mantienen limpios mis archivos de registro o estoy obteniendo algún beneficio valioso al bloquear los intentos de ataque de fuerza bruta?
Actualización : muchos comentarios sobre la fuerza bruta de adivinar las contraseñas. Mencioné que no estaba preocupado por esto. Quizás debería haber sido más específico y preguntar si fail2ban tenía algún beneficio para un servidor que solo permite inicios de sesión ssh basados en claves.
Respuestas:
Los intentos de inicio de sesión con limitación de velocidad son una manera fácil de evitar algunos de los ataques de alta velocidad para adivinar contraseñas. Sin embargo, es difícil limitar los ataques distribuidos y muchos corren a un ritmo bajo durante semanas o meses. Personalmente prefiero evitar el uso de herramientas de respuesta automatizadas como fail2ban. Y esto es por dos razones:
Por lo tanto, no considero fail2ban (y herramientas de respuesta automatizadas similares) como un enfoque muy bueno para asegurar un servidor contra ataques de fuerza bruta. Un simple conjunto de reglas de IPTables para reducir el spam de registro (que tengo en la mayoría de mis servidores Linux) es algo como esto:
Evita más de 4 intentos de conexión desde una sola IP a ssh en cualquier período de 60 segundos. El resto puede manejarse asegurando que las contraseñas sean razonablemente seguras. En los servidores de alta seguridad, obligar a los usuarios a usar la autenticación de clave pública es otra forma de dejar de adivinar.
fuente
Herramientas como fail2ban ayudan a reducir el tráfico innecesario de la red y a mantener los archivos de registro un poco más pequeños y limpios. No es una gran cura de seguridad, pero hace que la vida del administrador de sistemas sea un poco más fácil; Es por eso que recomiendo usar fail2ban en sistemas donde puede permitírselo.
fuente
No se trata solo de reducir el ruido: la mayoría de los ataques ssh intentan adivinar por fuerza bruta las contraseñas. Entonces, si bien verá muchos intentos fallidos de ssh, tal vez para el momento en que llegue el intento 2034 puedan obtener un nombre de usuario / contraseña válidos.
Lo bueno de fail2ban en comparación con otros enfoques es que tiene un efecto mínimo en los intentos de conexión válidos.
fuente
Bueno, salva su red de los ataques de negación, y ahorra la sobrecarga de procesar las fallas.
No ser el servidor más débil en una lista de script kiddies siempre es algo bueno.
fuente
Lo siento, pero diría que su servidor está debidamente protegido si su sshd rechaza los intentos de autenticación con contraseñas.
fuente