Recientemente se dio a conocer la noticia por medio de las listas de correo de OpenSSH, que en el código base se ha incorporado una protección contra ataques automatizados de adivinación de contraseñas, en los que bots intentan adivinar la contraseña de un usuario probando múltiples combinaciones.
Para bloquear estos ataques, se ha añadido el parámetro PerSourcePenalties en el archivo de configuración sshd_config
. Este parámetro permite definir un umbral de bloqueo que se activa cuando hay numerosos intentos fallidos de conexión desde la misma dirección IP. Este nuevo mecanismo de seguridad se incluirá en la próxima versión de OpenSSH y estará habilitado por defecto en OpenBSD 7.6.
Cuando PerSourcePenalties está habilitado, sshd(8) supervisará la salida
estado de sus procesos de sesión de pre-autoría infantil. A través de la salida
estado, puede observar situaciones donde la sesión no lo hizo
autenticar como se esperaba. Estas condiciones incluyen cuando el cliente
intentó repetidamente la autenticación de manera inadecuada (posiblemente indicando
un ataque contra una o más cuentas, por ejemplo, adivinación de contraseñas), o
cuando el comportamiento del cliente causó que sshd se bloqueara (posiblemente indicando
intentos de explotar sshd).Cuando se observa tal condición, sshd registrará una penalización de algunos
duración (por ejemplo, 30 segundos) contra la dirección del cliente. Si esta vez
está por encima de un umbral mínimo especificado por PerSourcePenalties, entonces
las conexiones desde la dirección del cliente serán rechazadas (junto con cualquier
otros en la misma gama PerSourceNetBlockSize CIDR).
Cuando la seguridad está activada, el proceso sshd
comienza a monitorear el estado de terminación de los procesos secundarios, identificando situaciones en las que la autenticación falló o cuando un proceso finalizó anormalmente debido a un error. Una alta tasa de fallos de autenticación sugiere intentos de adivinación de contraseñas, y las fallas pueden indicar intentos de explotar vulnerabilidades en sshd
.
El parámetro PerSourcePenalties especifica el umbral mínimo de eventos anormales; al exceder este umbral, la dirección IP con actividad sospechosa será bloqueada. Con el parámetro PerSourceNetBlockSize, se puede definir una máscara de subred adicional para bloquear toda la subred a la que pertenece la IP problemática.
Para deshabilitar el bloqueo de subredes individuales, se ha propuesto el parámetro PerSourcePenaltyExemptList, que puede ser útil en situaciones que conducen a falsos positivos, como cuando se accede al servidor SSH desde una red grande con solicitudes de diferentes usuarios provenientes de la misma IP debido al uso de traductores de direcciones o proxies.
Fuente: https://marc.info
Discover more from Ready4Linux
Subscribe to get the latest posts to your email.