[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH

Carlos André candrecn at hotmail.com
Mon Jan 20 12:13:18 BRST 2014 

Estou vendo mesmo que sou muito paranoico mesmo ¬_¬

O negócio é usar:
+ Bloqueado TUDO que não for IP brasileiro
+ DNS dinâmico individual por usuário (se IP dinâmico bater , mas for fora do Brasil = DENY)
+ Túnel #1 - "área de descompressão" - login e senha + certificado com validade limitada e com senha de mais de 40 caracteres - duplo certificado, uso de porta não padrão, alta e não registrada, e configurado para não responder consulta/solicitação inválida. 
+ Túnel #2 - "dentro da rede" - login e senha + certificado com validade limitada  com senha de mais de 40 caracteres (login, senha, e senha de certificado diferente do primeiro :P) - duplo certificado, uso de porta não padrão, alta e não registrada - diferentes da primeira ...
+ No nome do DNS dinâmico e logins não usar nomes que possam identificar o usuário diretamente.

O legal, é que assim"espanta" os que querem ter acesso para dizer que tem :P

Atenciosamente,

Carlos André





cand...... at hotmail.com

> From: gst.freitas at gmail.com
> Date: Mon, 20 Jan 2014 11:33:59 -0200
> To: masoch-l at eng.registro.br
> Subject: Re: [MASOCH-L]	Como melhorar a segurança para acesso remoto via SSH
> 
> simples e prático.. openvpn.. acesso somente
> local..
> 
> Em 20 de janeiro de 2014 10:34,  <nelson at pangeia.com.br> escreveu:
> >
> > Pode ser util olhar aqui tambem:
> >
> > http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
> >
> > NM
> >
> >
> > On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
> >> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
> >> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
> >> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
> >> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
> >> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
> >> e para os dinâmicos.
> >>
> >> Cordialmente,
> >> Guilherme Euler
> >> hrtp://www.euler.eti.br
> >> http://www.infodicas.com.br
> >>
> >> Enviado via smartphone.
> >> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
> >>
> >> > >
> >> > > Dei uma olhada neste site [1] e achei interessante as configurações
> >> > > de hardening do servidor SSH bem como a técnica de port knocking,
> >> > > mas gostaria de ouvir algumas outras sugestões.
> >> > >
> >> > > Agradeço a atenção!
> >> > >
> >> > > [1]
> >> > >
> >> > >
> >> > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> >> > >
> >> > >
> >> > Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
> >> > atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
> >> > em outra porta, e o acesso a essa outra porta depende de um port-knocking
> >> > numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
> >> > tentativa de conexão para a porta real (que tem um número mais baixo e bem
> >> > distante), e essa tentativa nunca se completa parecendo com qualquer outra
> >> > porta fechada da máquina.
> >> >
> >> >
> >> > Rubens
> >> > __
> >> > masoch-l list
> >> > https://eng.registro.br/mailman/listinfo/masoch-l
> >> >
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> 
> 
> 
> -- 
> Gustavo Freitas
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list