SSHD Dictionary Attack 막기 :: 피터지고 치열하게 삶을 유지하다

피터지고 치열하게 삶을 유지하다

Notice | Keyword | Tag | Location | Guestbook | Admin | Write Article

SSHD Dictionary Attack 막기

SSHD Dictionary Attack 막기 (위키)

SSH 데몬에 접속하여 root를 포함한 잘 알려진 계정들로 로그온을 시도하고 거기에 쓰인 패스워드를 기억하여 다음 접속시 그 다음부터 사전식으로 계속해서 암호를 대입해 나가는 방식의 공격을 Dictionary Attack, 정확히 말하자면.. ssh brute force attack 이라고 한답니다.

서비스가 오픈되어 있는한 이 공격을 원척적으로 봉쇄하는 방법은 없습니다.

그렇다고 손놓고 있기는 뭐하고 최소한의 조치를 취할 필요를 느꼈습니다.

어째든 암호를 들키지 않는 방법은 암호는 최소 12자 이상으로 더욱 길게, 자주 바꾸어 주는 방법이 있을 것입니다.

아니면 좀더 강력한 방법으로는 사용자와 접속 위치가 제한되어 있다면 방화벽에서 특정 IP만 SSH 접속을 허가하도록 하는 것도 한 방법일 것입니다.

그러나 SSH 접속을 공개해야 한다면, 최소한의 조치로 아래의 방법들을 사용해 볼 만합니다.

약간의 네트워부하 및 시스템 부하를 줄이고 무엇보다 암호를 알아내는 과정의 시간을 지연하여 공격을 방해하하는 방법이 방화벽(IPTables) Rule을 이용하여 소개되어 있었습니다.

참고 목록들 :

http://wiki.centos.org/HowTos/Network/SecuringSSH

ssh dictionary attack 막기 ver.2 (추천)

SSHD Dictionary attack Filter Open Souce (CentOS5에서는 정상동작하지 않을 수 있습니다.)

위 3번째 오픈소스는 iptables에 문제가 되는 IP를 자동 등록해주는등 여러가지로 편리할 것 같아 이걸 설치할려고 했으나, ReadMe 문서를 읽어본결과 CentOS 5에서는 문제가 있는듯, 문제가 해결되었는지 확인하고 설치하자.

첫번째와 두번째는 역의 역 관계로 동등하다고나 할까? ㅋㅋ
로그 기록하는 점 때문에 두번째를 추천하고 시스템에 적용하였지만, 좀더 써보고 로그 기록이 오히려 부하가 될것 같으면 첫번째 룰을 써볼까 합니다.

적용사례 #1

# ssh buste attack rule 2 --------> 
-A RH-Firewall-1-INPUT -p tcp --dport 22 -m recent --set --name sshscan --rsource 
-A RH-Firewall-1-INPUT -p tcp --dport 22 -m recent ! --rcheck --seconds 60 \
                       --hitcount 5 --name sshscan --rsource -j ACCEPT 
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j DROP 
# <--------------------------------

적용사례 #2

# ssh buste attack rule by ProjectS ------>
-A RH-Firewall-1-INPUT -p tcp --dport 2218 -m state --state NEW -m recent \
                       --set --name SSHSCAN
-A RH-Firewall-1-INPUT -p tcp --dport 2218 -m state --state NEW -m recent \
                       --update --seconds 60 --hitcount 5 --rttl --name SSHSCAN \
                       -j LOG --log-prefix SSH_Scan:
-A RH-Firewall-1-INPUT -p tcp --dport 2218 -m state --state NEW -m recent \
                       --update --seconds 60 --hitcount 5 --rttl --name SSHSCAN \
                       -j DROP
# <----------------------------
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 2218 -j ACCEPT

크리에이티브 커먼즈 라이센스

Creative Commons License

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

이올린에 북마크하기

(0)

이올린에 추천하기

(0)

Tag : 보안

posted at 2008/01/06 07:15 | IT 세상속으로 | Trackback(0) | Comment(0)

Track this back : http://www.codeforum.net/blog/pitoosung/trackback/150

name password homepage

hidden

<< prev [1] ... [26] [27] [28] [29] [30] [31] [32] [33] [34] ... [138] next >>

BLOG main image

피투성의 IT 분투기

Notice

(2008.2.2) IP : 195.225.178.29 - 스팸 차단 조치
(2008.1.14) 오후 06:34 ~ 08:07 : 시스템 복구
(2008.1.14) 오전 00:25(?) : 시스템 다운 - 흠 심각하군!
(2008.1.13) 오후 11:31 : 시스템 리부팅됨
(2008.1.13) 시스템 복구 : 오전(?)~오후 1:00

Category

전체 (138)

프로그래밍 (40)

IT 세상속으로 (40)

세상 엿보기 (25)

지하창고 (13)

책의 향기 (12)

생각의 힘(바둑) (4)

OCR-내가 다 읽어줄께 (1)

두발의 짐승 (2)

지능형 로봇 (1)

Calendar

Recent Entries

일상으로 ...
마이크로소프트 2008 신제...
[웹캐스트 시청소감] 액티...
각종 교통 정보 - 안전하...
제네릭 프로그래밍 - C#에... (2)

Recent Comments

처음보는 warning이 거슬...

나이 - 2008

Generic 코드는 COM으로...

쭌 - 2008

저도 이문에제 봉착했네요...

쭌 - 2008

와~ 정말 고생하셨습니다~...

카이저소제 - 2008

아, 이게 VS2005 입니다...

HJ - 2008

Recent Trackbacks

내가 생각하는 한의학의...

Life Is Always Emergency

FreeBSD 6.2, 64bit, 메모...

엘레노아의 작업로그

알약 백신 제대로 사용하...

촌철살인

유용한 블로그 툴 몇개..

ENTClic@blog...just anot...

국내의 검색엔진에 등록하...

케이알선의 이야기

Archive

2008/09
2008/03
2008/02
2008/01
2007/12

Link Site

00_피투성의 지식창고_00

Visitor Statistics

Total : 33088
Today : 25
Yesterday : 52

Eolin