SÅ‚awek Lipowski <slawek@lipowski.org> wrote:
> Wystarczy zostawić otwarty port 22 na świat żeby przekonać się, że będą
> trafiać w niego próby logowania ze świata. Z jakiegoś powodu ludzie
> jednak próbują.
Ludzie bezpośrednio nie, to robią przede wszystkim automaty skanujące całe
sieci.
> PojawiajÄ… siÄ™ tez kolejne pytania. Czy np. takie
> wystawione na świat ssh nie będzie podatne na DDoS.
Jakiego typu DDoS? Bo poza wysyceniem Å‚Ä…cza przed wszelkimi innymi
można się trywialnie obronić.
> Czy konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?
Rozsądni admini mają zaimplementowaną automatyczną analizę logów
w czasie rzeczywistym, dzięki której atak zostanie odparty na poziomie
sieciowym po 3-4 próbie użycia hasła.
Z drugiej strony: który racjonalny admin używa haseł do usług typu SSH?
Sorry, ale jak ktoś nie używa kluczy/certyfikatów, to powinien przeżyć
na własnej skórze skutki udanego ataku słownikowego.
>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>
> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba ten
> port otworzyć od razu na cały świat, prawda? W dobie powszechnego
> mobilnego dostępu do Internetu z możliwością przypisania do takiej
> usługi publicznego IP to naprawdę nie wydaje się być problemem.
Jest port-knocking, z którego można skorzystać z dowolnego systemu
operacyjnego z telnetem/nc/odpowiednikiem i działa naprawdę dobrze
(szczególnie, jeśli numery port(ów) są zależne od daty - co ładnie
ogranicza ataki typu traffic replay).
Poncki
-- Kto misiowi urwał ucho?Received on Wed Aug 11 15:30:02 2010
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Wed 11 Aug 2010 - 15:40:01 MET DST