Lohnt sich der Firewall- / Filter-SSH-Zugriff immer noch, außer von bestimmten IPs?

7

Vor einigen Jahren gab es mehrere Remote-Exploits für OpenSSH, die viele Administratoren, einschließlich mich, dazu veranlassten, Port 22 am Netzwerkumfang zu filtern, sodass nur IP-Adressen von Mitarbeitern SSH verwenden konnten. Es war eine übliche Praxis.

Damals machte es Sinn, aber macht es jetzt Sinn?

Ich spreche über die Sicherheit und Ausnutzbarkeit des SSH-Daemons selbst. Ich mache mir keine Sorgen über Bots, die versuchen, Kennwortanmeldungen brutal zu erzwingen. In meinem Shop ist ssh bereits gesperrt. Root-Anmeldungen sind deaktiviert, es wird nur die Authentifizierung mit öffentlichem Schlüssel verwendet.

Grundsätzlich frage ich, ob es da draußen Kinder gibt, die seit 9 Jahren auf OpenSSH Zero-Day sitzen? Ein Typ, mit dem ich zusammenarbeite, geht davon aus und seine Logik lautet "weil es ein Server ist". Ich finde seinen Glauben fraglich.

security ssh firewall BDP
quelle
Wie bei jeder Sicherheit hängt es ganz davon ab, was Sie schützen möchten. Haben Sie Kreditkartendaten, Gesundheitsdaten. Haben Sie gute Backups, könnten Sie Dinge schnell reparieren, wenn Sie kompromittiert würden? Haben Sie andere Systeme eingerichtet, um die tatsächliche Gefahr zu begrenzen, wenn jemand tatsächlich eine Verbindung über SSH herstellen kann?
Zoredache

Antworten:

8

Ich würde sagen, es lohnt sich immer noch, eine große Angriffsfläche in Form Ihres SSH-Servers zu vermeiden.

Einige Dinge, die ich mache (zwischen verschiedenen Maschinen variieren), sind:

  • Begrenzung der Verbindungsrate auf Iptable-Ebene
  • Führen Sie SSH auf einem anderen Port aus
  • fail2ban
  • opie
  • Keine Root-Anmeldungen
  • Nur SSH-Schlüssel

Das Ausführen von ssh auf einem anderen Port vermeidet viele Bots und Scans, ist jedoch beim Herstellen einer Verbindung etwas aufwändiger (ein Eintrag in ~ / .ssh / config hilft jedoch). Es wird einen entschlossenen Hacker nicht aufhalten, nur Bots usw.

Etwas wie fail2ban + iptables oder die Begrenzung der Verbindungsrate von iptables lohnt sich wahrscheinlich. Es ist recht einfach einzurichten, verlangsamt jedoch schnell jeden, der wiederholt Dinge ausprobiert, und sollte Sie nicht beeinträchtigen.

Keine Root-Anmeldungen / OPIE / ssh-Schlüssel sollten nur für die meisten, aber nicht für alle Null-Tage helfen und helfen auch in vielen anderen Situationen. Es kann die Einrichtung eines neuen Computers / neuen Administrators etwas verlängern, aber was es bietet, sollte sich lohnen.

Gagravarr
quelle
1

Während es möglicherweise nicht (viele) Kinder gibt, die solche Exploits ausführen, gibt es definitiv Zombie-Boxen mit Skripten, die dies für sie tun.

Davon abgesehen - es gibt immer noch böse Hacks, die aufgrund von IP-Adressen mit Stecklöchern auftreten können - ist Ihre Sicherheit nur so hoch wie die Sicherheit des Remote-Computers / der IP.

Informieren Sie sich mindestens über Tunneling / VPN-Technologien. Werfen Sie auch Passwörter (Authentifikatoren und dergleichen) weg, wenn Sie sich wirklich um die Sicherheit sorgen.

grufftech
quelle