[FUG-BR] RES: [OFF TOPIC] Ataques...
Renato Frederick
frederick em dahype.org
Quinta Dezembro 7 16:05:59 BRST 2006
O problema é quando você tem que dar suporte remoto, via um ADSL..
Não é nada agradável estar em casa e precisar logar prá reiniciar um serviço
e lembrar que o ssh está fechado.
Um projeto bacana é o freepfw:
http://www.mail-archive.com/fugspbr@fugspbr.org/msg00465.html
Ele ativa ou desativa um set de regras pegando o $REMOTE_ADDRESS do seu
browser ;)
Tem outras soluções mais criativas como o knock, que vc "bate" em
determinadas portas em determinada sequencia em um espaço de tempo e ele
abre a porta pré determinada(neste caso, SSH), por algum tempo.
Pode ser feito via vpn também, etc etc
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br
> [mailto:freebsd-bounces em fug.com.br] Em nome de Marcello Costa
> Enviada em: quinta-feira, 7 de dezembro de 2006 15:58
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] [OFF TOPIC] Ataques...
>
> Em Qui, 2006-12-07 às 13:40 -0300, thiago em imbituba.sc.gov.br escreveu:
> > Essa mensagem nao é do mta, e sim do sshd.
> > Existe uma maneira BEM simples que resolveria seu problema.
> > Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a
> > 666, 5122, 226 ...
> > :)
> >
>
> Eu particularmente não gosto muito de mudar as portas , mas a
> mensagem como esta no link que coloquei é o ssh reportando
> tentativas de login do dominio, provavelmente um adsl, acho
> que filtrar melhor a porta 22 melhor que trocar de porta e
> não deixar ela filtrada, mesmo pq assim um nmap da vida logo
> acha a tal 666.
>
> a regra:
>
> add 1001 allow tcp from ipquepodefazerssh to me dst-port 22
> limit src-addr 1
>
> permite que seja feito apenas uma sessão por vez do
> ipquepodefazerssh , resumindo , resolve o problema no
> firewall antes da conexão chegar ao ssh, claro que ainda pode
> fazer algum ajuste no ssh, agora quer ser malvado, coloque
> depois a regra:
>
> add 1002 reset all from any to me ssh
>
> reset Discard packets that match this rule, and if the
> packet is a TCP
> packet, try to send a TCP reset (RST) notice.
> The search terminates.
>
>
>
Mais detalhes sobre a lista de discussão freebsd