Zum Hauptinhalt springen

Wie kann ich mich vor SSH/FTP-Brute-Force Attacken schützen?

"Brute-Force" Attacken, bei denen einen Vielzahl an Benutzername / Kennwort Kombinationen zur Anmeldung an Serverdiensten geprüft werden, gehören zu den am weitest verbreiteten Attacken. Insbesondere die Dienste SSH und (S)FTP sind stark von solchen Attacken betroffen.

Mitigation

Mithilfe der Dateien /etc/hosts.allow und /etc/hosts.deny lässt sich festlegen, ob sich eine IP-Adresse verbinden darf.

Nine hat ein System entwickelt, dass sich diesem Mechanismus bedient. Versucht ein beliebiges System im Internet sich mit ungültigen Zugansgdaten an einem Managed Server anzumelden, so wird dessen IP Adresse beim zehnten fehlgeschlagenen Versuch auf die schwarze Liste gesetzt.

Weitere Verbindungen werden anschliessend zunächst für 60 Minuten abgelehnt. Bei wiederholten Versuchen einer IP Adresse wird diese für eine Woche blockiert.

Diese Massnahme wird auf Managed Server Umgebungen von Nine automatisch umgesetzt.

Öffentlich verfügbare hosts.deny

Nine stellt öffentlich eine /etc/hosts.deny zur Verfügung, die aus fehlgeschlagenen Authentifizierungsversuchen an unseren Managed Servern erstellt wird.

Somit können alle unsere Kunden oder interessierte Systemadministratoren ebenfalls von diesem Mechanismus profitieren.

hosts.deny beziehen

Folgender Cronjob überprüft alle fünf Minuten, ob eine neue Version der hosts.deny vorhanden ist und lädt die Datei im Anschluss herunter. Nachdem die Datei vollständig heruntergeladen wurde, wird diese von /tmp/hosts.deny nach /etc/hosts.deny kopiert.

*/5 * * * * cd /tmp && wget -N https://hostsdeny.nine.ch/hosts.deny >/dev/null 2>&1 && cp hosts.deny /etc/hosts.deny

Die Datei /tmp/hosts.deny verbleibt und wird genutzt, um bei künftigen Ausführungen des Cronjobs zu überprüfen, ob die Liste unter https://hostsdeny.nine.ch/hosts.deny einen neuen Stand abbildet.