[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH

Fernando José nandograva at hotmail.com
Mon Jan 20 12:15:48 -03 2014


Já deu preguiça de conectar nessa rede só de ler o procedimento, rsrsrs....

Fernando.

> From: candrecn at hotmail.com
> To: masoch-l at eng.registro.br
> Date: Mon, 20 Jan 2014 17:13:18 +0300
> Subject: Re: [MASOCH-L] Como melhorar a segurança para acesso remoto via SSH
> 
> Estou vendo mesmo que sou muito paranoico mesmo ¬_¬
> 
> O negócio é usar:
> + Bloqueado TUDO que não for IP brasileiro
> + DNS dinâmico individual por usuário (se IP dinâmico bater , mas for fora do Brasil = DENY)
> + Túnel #1 - "área de descompressão" - login e senha + certificado com validade limitada e com senha de mais de 40 caracteres - duplo certificado, uso de porta não padrão, alta e não registrada, e configurado para não responder consulta/solicitação inválida. 
> + Túnel #2 - "dentro da rede" - login e senha + certificado com validade limitada  com senha de mais de 40 caracteres (login, senha, e senha de certificado diferente do primeiro :P) - duplo certificado, uso de porta não padrão, alta e não registrada - diferentes da primeira ...
> + No nome do DNS dinâmico e logins não usar nomes que possam identificar o usuário diretamente.
> 
> O legal, é que assim"espanta" os que querem ter acesso para dizer que tem :P
> 
> Atenciosamente,
> 
> Carlos André
> 
> 
> 
> 
> 
> cand...... at hotmail.com
> 
> > From: gst.freitas at gmail.com
> > Date: Mon, 20 Jan 2014 11:33:59 -0200
> > To: masoch-l at eng.registro.br
> > Subject: Re: [MASOCH-L]	Como melhorar a segurança para acesso remoto via SSH
> > 
> > simples e prático.. openvpn.. acesso somente
> > local..
> > 
> > Em 20 de janeiro de 2014 10:34,  <nelson at pangeia.com.br> escreveu:
> > >
> > > Pode ser util olhar aqui tambem:
> > >
> > > http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
> > >
> > > NM
> > >
> > >
> > > On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
> > >> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
> > >> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
> > >> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
> > >> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
> > >> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
> > >> e para os dinâmicos.
> > >>
> > >> Cordialmente,
> > >> Guilherme Euler
> > >> hrtp://www.euler.eti.br
> > >> http://www.infodicas.com.br
> > >>
> > >> Enviado via smartphone.
> > >> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
> > >>
> > >> > >
> > >> > > Dei uma olhada neste site [1] e achei interessante as configurações
> > >> > > de hardening do servidor SSH bem como a técnica de port knocking,
> > >> > > mas gostaria de ouvir algumas outras sugestões.
> > >> > >
> > >> > > Agradeço a atenção!
> > >> > >
> > >> > > [1]
> > >> > >
> > >> > >
> > >> > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> > >> > >
> > >> > >
> > >> > Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
> > >> > atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
> > >> > em outra porta, e o acesso a essa outra porta depende de um port-knocking
> > >> > numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
> > >> > tentativa de conexão para a porta real (que tem um número mais baixo e bem
> > >> > distante), e essa tentativa nunca se completa parecendo com qualquer outra
> > >> > porta fechada da máquina.
> > >> >
> > >> >
> > >> > Rubens
> > >> > __
> > >> > masoch-l list
> > >> > https://eng.registro.br/mailman/listinfo/masoch-l
> > >> >
> > >> __
> > >> masoch-l list
> > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > 
> > 
> > 
> > -- 
> > Gustavo Freitas
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>  		 	   		  
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
 		 	   		  


More information about the masoch-l mailing list