ataques de fuerza bruta por SSH

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

ataques de fuerza bruta por SSH

Mensaje por Felipe »

Buenas,

Tenemos un problema en el trabajo y es la aparición de constantes ataques de fuerza bruta al SSH. En condiciones normales se podría configurar el propio servidor para que bloqueara la IP después de un número determinados de intentos, pero en nuestro caso no es posible. Disponemos de una red de balanceo que decide que servidor atenderá la conexión SSH. Como consecuencia de esto el balanceador realiza un NAT de una dirección de la red de balanceo a una dirección de la red interna y se comunica con el servidor correspondiente. Por lo tanto independientemente del servidor que escoja, los servidores SSH siempre verán que la dirección origen es la de los balanceadores. Por esto último es por lo que no puedo bloquear las IPs con el propio servidor SSH, bloquearía el acceso a todos los usuarios (legítimos o ilegítimos).

Por otro lado si no realizo el NAT en los balanceadores, no es posible la conexión, ya que los servidores SSH contestarían directamente al firewall y el firewall no tiene ni idea de a que conexión corresponde (el se lo había enviado a la red de balanceo).

Y ese es el resumen del problema. Decidí resolverlo utilizando un IPS con la firma de SSH.Brute.Force activada y algunos de los ataques los bloquea y pone en cuarentena las IPs. Pero viendo los logs seguía sufriendo algunos ataques, por lo que decidí probar qué tipo de ataques de fuerza bruta no detiene el firewall. Probé con el programa hydra y en efecto, con este programa por ejemplo el firewall se traga el ataque y pude atacar el servidor SSH.

Mi pregunta es, ¿Es posible bloquear con el firewall de alguna forma este tipo de ataques?
Responder