SSH Brute Force Attacks
Jedna populární použití SSH je umožnit uživatelům přístup k příkazové řádky na vzdáleném počítači pro administrativní účely. |
V tomto článku se budeme zabývat tím, jak SSH útoky hrubou silou pracovat, jak můžeme vyzkoušet a hájit naše systémy proti takovým útokům.
Normálně SSH poskytuje šifrování dat, ověřování veřejných klíčů pro autentifikaci serveru a heslo pro uživatele (uživatelské jméno a heslo jsou šifrovány rámci SSH); ověření veřejného klíče, je také možné pro uživatele.
Ačkoli zvážil to špatná praxe, správci vystaven SSH služby nepřátelských sítích (jako internet), který umožňuje kořenový přihlášení přes SSH s ověřováním hesla bázi.
Použití slabé heslo pro účet root by mohlo vést k celkové systémové kompromisu jako root pověření mohou být stanoveny pomocí útoku hrubou silou.
SSH útoky hrubou silou může být automatizován či cílená. Zde je typickým příkladem automatického útoku.
Útočníci skenování pro SSH démonů vystaveny na internetu.
Skeny lze provést roboty; obvykle automatické skenování zaměřit na pravidelné SSH TCP porty 22.
Za předpokladu, že TCP port 22 se nachází otevřený, identifikace služba je pokusil.
SSH bannery mohou vystavit informace o SSH služby (jako OpenSSH verze) a základní operační systém (např. Debian Linux).
Na základě informací shromážděných útočníků základě pokusit se zjistit, platné uživatelské jméno a heslo kombinace přes SSH útoky hrubou silou; tyto nejsou zcela útoky hrubou silou, spíše se používají slabá hesla slovníky.
Hlavním cílem bude účet root.
Je-li kořen přihlášení přes SSH je povolen se slabým heslem, mohou útočníci skončit úplnou kontrolu nad exponované systému.
Audit SSH démona vystavena nepřátelské sítě lze provést pomocí nástrojů, jako je nmap a ncrack.
Se nmap jsme skenování pro otevřené SSH porty a zjistit podrobnosti o službách běžících na těchto portech.
Se ncrack se pokusíme provést brute force útok proti objevil SSH server.
Oba nástroje jsou k dispozici na nejnovější průniku BackTrack testing, které budeme používat jej níže. nmap v akci
Nejprve se pokusíme zjistit, zda TCP port 22 je otevřena na cílovém počítači; budeme používat nmap napůl otevřené nebo stealth skenování.
Dále budeme provádět kontrolu služeb, aby zjistili, zda SSH port je používán démona SSH; a pokud ano, k získání více informací o démona SSH. Z níže můžeme všimnout, že OpenSSH poslouchá na TCP portu 22, a že základní OS může být Debian.
Můžeme použít nmap získat více informací, ale pro tuto chvíli pojďme předstírat, že jsme spokojeni s tím, co víme.
ncrack přichází s vlastním seznamem hesel slovníků; "default.pwd" slovník je používán, pokud uvedeme ještě jeden. Pokusíme se zjistit, zda uživatel root povoleno se přihlásit přes SSH se slabým heslem; budeme instruovat ncrack přestat snažit (volba-f) poté, co zakládá na heslo uživatele root, d-možnost určuje úroveň ladění (7 níže).
Všimněte si, že SSH neumožňuje klientovi změnit uživatelské jméno ve stejné souvislosti a že SSH server odpojí klienta po určitém počtu nesprávných hesel specifikované v této souvislosti.
ncrack pokusí určit maximální počet špatných pokusů hesla a vylepšení . Nastavení vhodně
můžete vyrovnat sami krakování; buď rychlostí nebo pro stealth (kontrolovat počet paralelních připojení, pokusů o ověření na připojení a zpoždění mezi jednotlivými navázání spojení).
Existuje několik snižující závažnost rizika proti SSH útoku hrubou silou.
Jeden z nejvíce efektivní zmírnění je nevystavujte SSH démona do nepřátelských sítí; použít VPN pro přístup k SSH. Například s SSL VPN je snadno bezpečně publikovat SSH servery pro uživatele.
Pokud potřebujete odejít přímo vystavena na Internetu žádnou ověřování použití SSH server veřejný klíč pro ověření uživatele a vypnul pravidelné ověřování pomocí hesla.
Pokud veřejný klíč ověřování pro uživatele není možné, pokusit se zmírnit útoku hrubou silou díky kombinaci metod podle:
pomocí silných hesel a nedovolit kořenový přihlášení přes SSH (je lepší mít samostatný účet pro běžné použití a pro sudo ke kořeni v případě potřeby). Změna výchozího SSH portu může pomoci v některých případech automatizovaných útoků, kdy je pouze výchozí port TCP sondoval.
Použití brány firewall / IPS v přední části SSH serveru omezit počet současných připojení TCP klient může otevřít na vašem SSH serveru a získat upozornění, když je dosaženo prahové hodnoty.
detekci s IPS pokusy podpis na SSH pověření tipovací útoky (na vědomí, že od roku uživatelské jméno a heslo jsou šifrovány v SSH, je nemožné zjistit, zda skutečně hádání hesla útoky se odehrávají, spíše nadměrný počet SSH spojení z na SSH Server ve stanoveném časovém horizontu bude detekována IPS).
SSH útoky hrubou silou nejsou ničím novým. Přesto někteří správci vystavit SSH servery na internetu umožňuje kořenové přihlášení přes SSH s slabá hesla. SSH útoky hrubou silou zaměřilo právě na tyto servery, aby bylo možné odhalit slabé přihlašovací údaje a umožnit útočníkovi převzít kontrolu nad systémy.
Aby se předešlo takové chyby ujistěte se, že budete kontrolovat všechny servery vystaveny na internetu, a pokud SSH spojení jsou povoleny z internetu některé z nich přijmout vhodná opatření na ochranu proti SSH útoku hrubou silou.