Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Port Knocking e OTP na autenticação ssh

“Bom aqui vai uma dica para aumentar a segurança para autenticação ssh no seu sistema GNU/Linux usando Port Knocking e One Time Password. Para fazer o Port Knocking vamos utilizar Netfilter/Iptables com o módulo Recent e para o One Time Password o módulo do Pam chamado Opie.

Avaliando o que teremos de segurança após a implementação do Port Knocking + OTP, um invasor para conseguir acesso ao nosso servidor por ssh ele precisa:

1° – Descobrir a porta do Port Knocking;
2° – Descobrir a porta do ssh, caso não seja a padrão;
3° – A contra senha;
4° – A senha do usuário. (…)”

Enviado por Luciano Antonio Borguetti Faustino (lucianoborguettiΘgmail·com) – referência (lucianoborguetti.blogspot.com).


• Publicado por Augusto Campos em 2009-05-21

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Interessante encontrar artigos que não se limitam a mudar a porta padrão do SSH. Segurança realmente é construída em camadas, quanto mais camadas (seguras) mais seguro é o ambiente.

    Mas faço uma sugestão: Não usem PortKnocking, usem SPA (Single Packet Authorization). Port Knocking pode ser detectado, não autentica os pacotes, não tem proteção contra Replay, só para começar. Claro, combinado com o OPIE (OTP) é mais uma coisa para atrapalhar a vida do atacante, mas não é suficiente.

    O uso de SPA no FWKNOP (http://www.cipherdyne.org/fwknop/) é infinitamente mais seguro, tem criptografia do pacote (GPG de até 2048 bits), permite enviar um comando ao invés de apenas abrir uma porta, ou seja, muito superior ao Port Knocking tradicional.

    No meu trabalho de Pós-Graduação analisei os dois e o FWKNOP é absolutamente fantástico.

    No mais, o mais interessante é o uso dos programas de OTP dinâmicas em celulares, pois o atacante provavelmente não terá acesso ao celular e ao computador da vítima ao mesmo tempo, fazendo com que o uso de múltiplos fatores seja mais forte ainda (o que eu sei, o que eu tenho e a combinação disso no acesso ao próprio gerador no celular).

    Espero ter ajudado. Continue com mais artigos de segurança, a Telefônica é uma que precisa pensar bem nisso :D .

    Flávio

    Que tal acrescentar (ou explicitar) mais 3 passos. O certo é vc não deixar o root entrar pelo ssh, assim vc teria que criar usuários que podem logar, assim o invasor, depois que entrar, ainda teria que descobrir uma vulnerabilidade explorável no seu sistema ou a senha do root.

    Em resumo o atacante teria que descobrir…

    1 – a porta de Knocking
    2 – a porta do ssh
    3 – o login de usuário comum (sem poderes especiais)
    4 – a contra senha
    5 – a senha do usuário
    6 – a senha/falha que dê acesso do super-usuário (root)

    dizem que o SELINUX pode restringir a senha do root, daí ainda podemos colocar mais um passo antes do 6, descobrir qual é o login do super-usuário (pois não seria “root”) e para dificultar o usuário comum entraria de início num ambiente chroot.

    É claro que um sistema seguro é bom, mas chega um ponto onde o cara não vai fazer pois vai ficar muito complicado manter.

Este post é antigo (2009-05-21) e foi arquivado. O envio de novos comentários a este post já expirou.