twitter
    Sigueme en el Twitter :-)

12 octubre 2010

Gorgona o Medusa ?? - Force Brute Attack

Hace poco leía varias noticias en internet sobre ataques de fuerza bruta SSH, así que me puse a leer un poco mas sobre las técnicas y formas sobre como se ejecutan estos ataques, y me topé con Medusa, una aplicación que sirve justo para este tipo de ataques, además por su sencillez en su uso, bueno, veamos su instalación sobre Fedora 13 i686 (para ser más detallista, en mi laptop) El sgt. How To es realizado con fines EDUCATIVOS, el cual trata de explicar como funcionan estos ataques y como defenderse de ellos, el autor no se hace responsable por daños a terceros
1.- Realizar: yum search medusa
2.- Si no obtenemos respuesta positiva, es porque falta un repositorio, los que tengo yo tengo son: epel y rpmfusion
3.- Ahora ejecutaremos: yum -y install medusa
4.- Una vez instalado procedemos a descargar una "lista/diccionario" para poder ejecutar el ataque aquí tienen una de ejemplo: http://membres.multimania.fr/keysking/outils/mil-dic.txt (en google existen varias)
5.- Con nuestra lista, y medusa, procedemos a realizar nuestro "ataque"
6.- Atacante: ip - 10.10.0.40, victima: ip - 192.168.1.90 (servidor linux con SSH )
7.- Ejecutamos: medusa -h 192.168.1.90 -u root -P /tmp/mil-dic.txt -M ssh
8.- Lo que acontinuación vendrá, será, que la aplicación probará una serie de posibles combinaciones y dependiendo de la loongitud de la misma, será el tiempo de espera.
9.- Al final, podremos obtener un resultado similar: [ssh] Host 192.168.1.90 User:root Password: tuxit0
Bien, ahora conocemos como se realiza este tipo de ataques, pero, como los evitamos, aquí algunos concejos para defendernos:
1.- Cambiar el puerto de SSH, por default es 22, usen otro, no sé, 1234 por ejm.
2.- No usar "PermitLoginRoot YES" cambien a NO, esto evitará que el usuario root se logee por ssh
3.- Usen adecuadamente las reglas de iptables, para filtrar el puerto que usen para SSH. 4.- Recomendación personal: usen un Bastion Host o una VPN para poder ingresar a sus servidores locales.
5.- Existen aplicaciones como Fail2ban, que nos ayudan ante este tipo de situaciones asi como Denyhost, son una excelente combinacion para evitar situciones de este tipo. Al final, la maxima seguridad, la da uno mismo revisando constantemente los logs, las reglas del firewall, los updates a las aplicaciones de nuestros servidores.
Espero les sirva la información, y recuerden, "no hagan a otros, lo que no nos gustaría que nos hagan..."

No hay comentarios.: