OpenSSH introduce una opción para sancionar comportamientos anómalos

 (undeadly.org)
1 puntos por GN⁺ 2024-06-08 | 1 comentarios | Compartir por WhatsApp
  • Se introducen en sshd(8) dos nuevas opciones: PerSourcePenalties y PerSourcePenaltyExemptList
    • PerSourcePenalties: función para detectar y sancionar comportamientos anómalos de clientes
    • PerSourcePenaltyExemptList: función para excluir ciertas direcciones de clientes de las sanciones

Detección y sanción de comportamientos anómalos

  • sshd(8) detecta comportamientos anómalos, como cuando un cliente falla repetidamente en la autenticación o provoca que sshd se bloquee.
  • Cuando se detecta este comportamiento, se aplica una sanción que rechaza las conexiones desde la dirección del cliente durante cierto tiempo.
  • En caso de infracciones repetidas, el tiempo de sanción aumenta.

Configuración predeterminada y precauciones

  • PerSourcePenalties está desactivada por defecto, pero pronto se activará de forma predeterminada. (a partir de OpenBSD 7.6)
  • Si muchos usuarios se conectan detrás de un bloque NAT o un proxy, el tráfico legítimo podría quedar bloqueado.
  • Es necesario ajustar en sshd_config(5) las opciones PerSourcePenalties, PerSourcePenaltyExemptList y PerSourceNetBlockSize según el entorno.

Opinión de GN⁺

  • Seguridad reforzada: esta función puede reforzar la seguridad al bloquear de forma efectiva intentos de acceso anómalos.
  • Facilidad de administración: hay una opción para excluir ciertos clientes de las sanciones, lo que facilita la administración.
  • Precaución en entornos NAT: si muchos usuarios comparten la misma IP en un entorno NAT, usuarios legítimos podrían quedar bloqueados, por lo que se requiere precaución.
  • Activación por defecto: al activarse por defecto, podrían producirse bloqueos inesperados, así que los administradores deberían revisar la configuración con anticipación.
  • Funciones similares en la industria: otros software de servidores SSH también ofrecen funciones de seguridad similares, por lo que conviene compararlas según sea necesario.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-06-08
Comentarios de Hacker News
  • Experiencia desarrollando servidores SSH: en IPv4, por el uso de CGN, es más probable que usuarios inocentes se vean afectados. En IPv6, es fácil obtener una nueva IP, así que los métodos de protección no son efectivos. La mayoría de los ataques son simples ataques de diccionario, y se recomienda usar claves SSH.
  • Advertencia sobre el uso de contraseñas en SSH: usar contraseñas en un SSH expuesto a internet es muy peligroso. Usar claves es más cómodo y más seguro.
  • Complejidad de la configuración: el sistema de penalizaciones parece complejo y los valores predeterminados no están documentados. Hay que leer el código fuente, pero da flojera instalar el cliente CVS.
  • Uso de soluciones existentes: ya se está usando fail2ban y no se quiere agregar más código a sshd.
  • Ventajas de una función integrada: se han usado MaxAuthTries y fail2ban, y la función integrada tiene mejoras.
  • Críticas a la función: como es fácil obtener una nueva IP, puede que no sea efectiva. También podría dificultar la depuración y causar problemas en muchas empresas.
  • Problema de los ataques con botnets: puede que no sea efectiva contra ataques que usan botnets.
  • Dudas sobre la necesidad de la función: puede causar molestias a quienes ya usan soluciones existentes. Se necesita scripting flexible.
  • Crítica al enfoque de seguridad: fail2ban y la nueva función de sshd son enfoques de seguridad poco rigurosos. Se recomienda permitir inicios de sesión solo desde redes confiables.
  • Duda sobre la compatibilidad con OpenBSD: mucha gente no sabe si fail2ban ha sido portado a OpenBSD.