OpenSSH introduz opção para penalizar comportamento anômalo

 (undeadly.org)
1 pontos por GN⁺ 2024-06-08 | 1 comentários | Compartilhar no WhatsApp
  • Novas opções PerSourcePenalties e PerSourcePenaltyExemptList foram introduzidas no sshd(8)
    • PerSourcePenalties: recurso que detecta comportamento anômalo de clientes e aplica penalidades
    • PerSourcePenaltyExemptList: recurso que permite excluir determinados endereços de clientes das penalidades

Detecção e penalização de comportamento anômalo

  • O sshd(8) detecta comportamentos anômalos, como falhas repetidas de autenticação por parte do cliente ou tentativas de derrubar o sshd.
  • Quando esse comportamento é detectado, aplica-se uma penalidade ao endereço do cliente, recusando conexões por um período determinado.
  • Em caso de violações repetidas, o tempo de penalidade aumenta.

Configuração padrão e observações

  • PerSourcePenalties vem desativado por padrão, mas em breve será ativado por padrão. (a partir do OpenBSD 7.6)
  • Se muitos usuários se conectarem por trás de um bloco NAT ou proxy, tráfego legítimo pode acabar sendo bloqueado.
  • É necessário ajustar as opções PerSourcePenalties, PerSourcePenaltyExemptList e PerSourceNetBlockSize em sshd_config(5) para adequá-las ao ambiente.

Opinião do GN⁺

  • Reforço de segurança: esse recurso pode fortalecer a segurança ao bloquear com eficácia tentativas de acesso anômalas.
  • Facilidade de administração: como há uma opção para excluir clientes específicos das penalidades, a administração fica mais simples.
  • Atenção em ambientes NAT: se muitos usuários usarem o mesmo IP em um ambiente NAT, usuários legítimos poderão ser bloqueados, exigindo cuidado.
  • Ativação por padrão: quando a ativação por padrão ocorrer, bloqueios inesperados poderão acontecer, então os administradores devem revisar a configuração com antecedência.
  • Recursos semelhantes no setor: outros softwares de servidor SSH também oferecem recursos de segurança semelhantes, portanto pode ser necessário compará-los conforme a necessidade.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-06-08
Comentários do Hacker News
  • Experiência escrevendo servidores SSH: no IPv4, o uso de CGN aumenta a chance de usuários inocentes serem afetados. No IPv6, é fácil obter um novo IP, então métodos de proteção podem não ser eficazes. A maioria dos ataques é apenas ataque de dicionário simples, e recomenda-se o uso de chaves SSH.
  • Aviso sobre uso de senha no SSH: usar senha em SSH exposto à internet é muito arriscado. Usar chaves é mais prático e mais seguro.
  • Complexidade da configuração: o sistema de penalidades parece complexo, e os valores padrão não estão documentados. É preciso ler o código-fonte, mas há relutância em instalar um cliente CVS para isso.
  • Uso de soluções existentes: já usam fail2ban e não querem adicionar mais código ao sshd.
  • Vantagens do recurso embutido: já usaram MaxAuthTries e fail2ban, e há melhorias no recurso embutido.
  • Críticas ao recurso: como é fácil obter um novo IP, ele pode não ser eficaz. Também pode dificultar o debugging e causar problemas em muitas empresas.
  • Problema de ataques por botnet: pode não ser eficaz contra ataques que usam botnets.
  • Dúvida sobre a necessidade do recurso: pode causar incômodo para quem já usa soluções existentes. Há necessidade de scripts mais flexíveis.
  • Crítica à abordagem de segurança: fail2ban e o novo recurso do sshd seriam abordagens de segurança sem princípios claros. Recomenda-se permitir login apenas a partir de redes confiáveis.
  • Dúvida sobre compatibilidade com OpenBSD: muitas pessoas não sabem se o fail2ban foi portado para OpenBSD.