OpenSSH führt Option zur Ahndung anomalen Verhaltens ein

 (undeadly.org)
1 Punkte von GN⁺ 2024-06-08 | 1 Kommentare | Auf WhatsApp teilen
  • Neue Optionen namens PerSourcePenalties und PerSourcePenaltyExemptList wurden in sshd(8) eingeführt
    • PerSourcePenalties: Funktion zum Erkennen und Ahnden anomalen Client-Verhaltens
    • PerSourcePenaltyExemptList: Funktion, mit der bestimmte Client-Adressen von Ahndungen ausgenommen werden können

Erkennung und Ahndung anomalen Verhaltens

  • sshd(8) erkennt anomales Verhalten wie wiederholte Authentifizierungsfehler durch Clients oder Versuche, sshd zum Absturz zu bringen.
  • Wird ein solches Verhalten erkannt, wird die Client-Adresse sanktioniert, indem Verbindungen für eine bestimmte Zeit abgewiesen werden.
  • Bei wiederholten Verstößen verlängert sich die Sanktionsdauer.

Standardeinstellungen und Hinweise

  • PerSourcePenalties ist standardmäßig deaktiviert, soll aber bald standardmäßig aktiviert werden. (ab OpenBSD 7.6)
  • Wenn viele Nutzer hinter einem NAT-Block oder Proxy zugreifen, kann legitimer Traffic blockiert werden.
  • In sshd_config(5) sollten die Optionen PerSourcePenalties, PerSourcePenaltyExemptList und PerSourceNetBlockSize passend zur eigenen Umgebung angepasst werden.

Meinung von GN⁺

  • Mehr Sicherheit: Diese Funktion kann die Sicherheit erhöhen, indem sie anomale Zugriffsversuche wirksam blockiert.
  • Einfache Verwaltung: Da es eine Option gibt, bestimmte Clients von Sanktionen auszunehmen, wird die Administration erleichtert.
  • Vorsicht in NAT-Umgebungen: Wenn viele Nutzer in einer NAT-Umgebung dieselbe IP verwenden, können auch legitime Nutzer blockiert werden.
  • Standardmäßig aktiviert: Bei einer Aktivierung per Standard kann es zu unerwarteten Blockierungen kommen, daher sollten Administratoren die Konfiguration vorab prüfen.
  • Ähnliche Funktionen in der Branche: Auch andere SSH-Server-Software bietet ähnliche Sicherheitsfunktionen, daher kann je nach Bedarf ein Vergleich sinnvoll sein.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-08
Hacker-News-Kommentare
  • Erfahrung beim Schreiben von SSH-Servern: Bei IPv4 ist es durch die Nutzung von CGN wahrscheinlicher, dass unschuldige Nutzer in Mitleidenschaft gezogen werden. Bei IPv6 ist es einfach, eine neue IP zu bekommen, wodurch Schutzmethoden möglicherweise wirkungslos sind. Die meisten Angriffe sind einfache Wörterbuchangriffe, daher wird die Verwendung von SSH-Schlüsseln empfohlen.
  • Warnung vor der Verwendung von SSH-Passwörtern: Passwörter für ein dem Internet ausgesetztes SSH zu verwenden, ist sehr gefährlich. Die Nutzung von Schlüsseln ist bequemer und sicherer.
  • Komplexität der Konfiguration: Das Strafsystem wirkt komplex, und die Standardwerte sind nicht dokumentiert. Man muss den Quellcode lesen, möchte dafür aber ungern einen CVS-Client installieren.
  • Nutzung bestehender Lösungen: Es wird bereits fail2ban verwendet, und man möchte sshd nicht noch mehr Code hinzufügen.
  • Vorteile der integrierten Funktion: MaxAuthTries und fail2ban wurden ausprobiert, und die integrierte Funktion bringt Verbesserungen.
  • Kritik an der Funktion: Da es leicht ist, eine neue IP zu bekommen, könnte sie wirkungslos sein. Das Debugging könnte schwieriger werden, und in vielen Unternehmen könnten Probleme auftreten.
  • Problem mit Botnet-Angriffen: Gegen Angriffe über Botnets ist sie möglicherweise nicht wirksam.
  • Zweifel an der Notwendigkeit der Funktion: Für Leute, die bereits bestehende Lösungen nutzen, könnte sie Unannehmlichkeiten verursachen. Flexibles Scripting ist erforderlich.
  • Kritik am Sicherheitsansatz: fail2ban und die neue Funktion von sshd sind unprinzipielle Sicherheitsansätze. Es wird empfohlen, Logins nur aus vertrauenswürdigen Netzwerken zuzulassen.
  • Frage zur OpenBSD-Kompatibilität: Viele wissen nicht, ob fail2ban auf OpenBSD portiert wurde.