RNP > Segurança em redes > Documentos > How-To > Scan-SSH

How-to para Tratamento de Incidentes: Scan-SSH

Introdução

O SSH é um pacote de programas cujo objetivo é aumentar a segurança de um sistema de redes. Ele basicamente fornece um substituto mais seguro para os programas "remotos" - rsh, rlogin, rcp, além de ser uma boa alternativa para o telnet. O serviço SSH permite vários métodos de autenticação e, em geral, os ataques contra esse serviço consistem em sucessivas tentativas de adivinhar a senha de root ou de um usuário qualquer.

Como evitar o ataque

Para evitar ataques de força bruta contra o serviço SSH, o CAIS recomenda os seguintes procedimentos:

• Reduzir o número de máquinas com o serviço aberto;
  
  
• Desativar o login de root por SSH;
  
  
• Alterar a porta que o serviço SSH trabalha para uma porta não padrão;
  
  
• Ativar o login por chave criptográfica;
  
  
• Desativar o login por senha de autenticação;
  
  
• Limitar o número de tentativas de acesso;
  
  
• Utilizar ferramentas de controle de acesso;
  
  
• Troca periódica de senhas;
  
  
• Utilizar ferramentas de controle de acesso;
  
  
• Estabelecer um prazo mínimo para troca de senhas.
  
  

Ferramentas para controle contra ataques de Força Bruta

O CAIS recomenda algumas ferramentas de segurança que podem ser usadas para monitorar e controlar as tentativas de login em serviços como SSH, FTP, SMTP etc. São elas:

Fail2ban: localiza várias tentativas de login vindas do mesmo IP, bloqueando-o e adicionando regras no firewall iptables caso haja várias tentativas frustradas de login no servidor. Para informações sobre instalação e configuração da ferramenta:

• http://www.fail2ban.org/wiki/index.php/Main_Page
  
  

SSHGuard: detecta tentativas de login em diversos serviços e bloqueia o endereço IP, além de ser integrável com diversos tipos de firewalls e possuir suporte para IPv6 e whitelisting. Para informações sobre instalação e configuração da ferramenta:

• http://www.sshguard.net/