[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH

Carlos André candrecn at hotmail.com
Mon Jan 20 12:22:53 -03 2014


Essa é a ideia :P 

btw, me deu preguiça de escrever também, e ainda faltou umas coisinhas, hahah.

Atenciosamente,

Carlos André




cand...... at hotmail.com

> From: nandograva at hotmail.com
> To: masoch-l at eng.registro.br
> Date: Mon, 20 Jan 2014 12:15:48 -0200
> Subject: Re: [MASOCH-L] Como melhorar a segurança para acesso remoto via SSH
> 
> Já deu preguiça de conectar nessa rede só de ler o procedimento, rsrsrs....
> 
> Fernando.
> 
> > From: candrecn at hotmail.com
> > To: masoch-l at eng.registro.br
> > Date: Mon, 20 Jan 2014 17:13:18 +0300
> > Subject: Re: [MASOCH-L] Como melhorar a segurança para acesso remoto via SSH
> > 
> > Estou vendo mesmo que sou muito paranoico mesmo ¬_¬
> > 
> > O negócio é usar:
> > + Bloqueado TUDO que não for IP brasileiro
> > + DNS dinâmico individual por usuário (se IP dinâmico bater , mas for fora do Brasil = DENY)
> > + Túnel #1 - "área de descompressão" - login e senha + certificado com validade limitada e com senha de mais de 40 caracteres - duplo certificado, uso de porta não padrão, alta e não registrada, e configurado para não responder consulta/solicitação inválida. 
> > + Túnel #2 - "dentro da rede" - login e senha + certificado com validade limitada  com senha de mais de 40 caracteres (login, senha, e senha de certificado diferente do primeiro :P) - duplo certificado, uso de porta não padrão, alta e não registrada - diferentes da primeira ...
> > + No nome do DNS dinâmico e logins não usar nomes que possam identificar o usuário diretamente.
> > 
> > O legal, é que assim"espanta" os que querem ter acesso para dizer que tem :P
> > 
> > Atenciosamente,
> > 
> > Carlos André
> > 
> > 
> > 
> > 
> > 
> > cand...... at hotmail.com
> > 
> > > From: gst.freitas at gmail.com
> > > Date: Mon, 20 Jan 2014 11:33:59 -0200
> > > To: masoch-l at eng.registro.br
> > > Subject: Re: [MASOCH-L]	Como melhorar a segurança para acesso remoto via SSH
> > > 
> > > simples e prático.. openvpn.. acesso somente
> > > local..
> > > 
> > > Em 20 de janeiro de 2014 10:34,  <nelson at pangeia.com.br> escreveu:
> > > >
> > > > Pode ser util olhar aqui tambem:
> > > >
> > > > http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
> > > >
> > > > NM
> > > >
> > > >
> > > > On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
> > > >> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
> > > >> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
> > > >> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
> > > >> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
> > > >> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
> > > >> e para os dinâmicos.
> > > >>
> > > >> Cordialmente,
> > > >> Guilherme Euler
> > > >> hrtp://www.euler.eti.br
> > > >> http://www.infodicas.com.br
> > > >>
> > > >> Enviado via smartphone.
> > > >> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
> > > >>
> > > >> > >
> > > >> > > Dei uma olhada neste site [1] e achei interessante as configurações
> > > >> > > de hardening do servidor SSH bem como a técnica de port knocking,
> > > >> > > mas gostaria de ouvir algumas outras sugestões.
> > > >> > >
> > > >> > > Agradeço a atenção!
> > > >> > >
> > > >> > > [1]
> > > >> > >
> > > >> > >
> > > >> > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> > > >> > >
> > > >> > >
> > > >> > Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
> > > >> > atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
> > > >> > em outra porta, e o acesso a essa outra porta depende de um port-knocking
> > > >> > numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
> > > >> > tentativa de conexão para a porta real (que tem um número mais baixo e bem
> > > >> > distante), e essa tentativa nunca se completa parecendo com qualquer outra
> > > >> > porta fechada da máquina.
> > > >> >
> > > >> >
> > > >> > Rubens
> > > >> > __
> > > >> > masoch-l list
> > > >> > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >> >
> > > >> __
> > > >> masoch-l list
> > > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > 
> > > 
> > > 
> > > -- 
> > > Gustavo Freitas
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> >  		 	   		  
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>  		 	   		  
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
 		 	   		  


More information about the masoch-l mailing list