Suis-je confronté à une attaque par force brute?

Ajout d'une note rapide sur fail2ban, comme beaucoup de gens l'ont mentionné: le front-end est un pare-feu d'entreprise, le back-end ne voit que la redirection/proxy/adresse interne qui provient du pare-feu.

Donc non, 172.25.1.1 n'est pas une machine interne compromise (et à la fois le commentaire dans la réponse et une autre réponse ici indiquant qu'il s'agit d'une machine interne sont faux en commentant cela). Il s'agit de l'une des adresses IP internes du pare-feu.

Fail2ban dans le back-end ne bloquerait que toutes les possibilités d'utiliser SSH pour les étirements à la fois car il ne voit que les tentatives infructueuses de 172.25.1.1. Alors s'il vous plaît, lisez la suite pour ma réponse.

Il n'y a aucun doute, comme d'autres articles le mentionnent, il est douloureusement évident que vous êtes victime d'une attaque par force brute.

Cependant, cela ne signifie pas du tout que vous êtes compromis de quelque façon que ce soit des journaux que vous nous avez montrés. Hélas, de nos jours, les attaques par force brute ssh sont toutes trop commun. La plupart du temps, ils sont vraiment automatisés et vous n'êtes pas nécessairement ciblés.

Comme anecdote, il y a quelques années, le premier jour où j'ai installé de nouveaux serveurs chez un fournisseur de services Internet, le serveur ssh ouvert sur Internet a reçu 200k + ssh sondes de balayage en une seule nuit.

En ce qui concerne l '"adresse IP interne", vous utilisez au mieux SNAT ou une redirection proxy 22/TCP, et les IP Internet source ne s'affichent pas (ce qui n'est pas la meilleure pratique), ou au pire votre routeur/modem câble est compromis.

Si vous avez vraiment une configuration SNAT/proxy SSH, je vous recommande d'y réfléchir. Vous voulez des journaux des vraies adresses IP et non de votre réseau.

Quant aux mesures, j'en recommande:

1. N'autorisez pas les mots de passe dans SSH; uniquement les connexions utilisant des certificats RSA;
2. N'ouvrez pas ssh pour l'extérieur; restreignez-le à votre réseau interne;
3. Pour accéder de l'extérieur, accédez via un VPN; n'exposez pas SSH à Internet dans son ensemble;
4. sYNs limitant le débit de l'extérieur.

Si vous insistez absolument pour que l'Internet SSH soit toujours ouvert à l'extérieur, sachez que la modification du port SSH par défaut ne donne qu'un faux sentiment de sécurité, et le blocage temporaire des adresses IP ne fait que ralentir l'attaque, car nous parlons souvent de fermes coordonnées de machines zombies.

Vous voudrez peut-être jeter un œil à fail2ban si vous modifiez votre configuration pour recevoir directement des adresses IP publiques vous connectant; cependant, tenez compte du fait que si une adresse IP externe arrive avec l'adresse IP de votre passerelle, vous verrouillez efficacement tous les accès SSH externes qui l'utilisent.

Il existe également d'autres mises en garde; veuillez noter que de nos jours, les zombies/programmes malveillants prennent fail2ban en compte et reviendra après le délai d'expiration par défaut ou à tour de rôle avec des adresses IP différentes. (Je l'ai vu se produire.) Même si vous utilisez l'authentification par certificat RSA obligatoire, les attaques par mot de passe seront toujours enregistrées et brûleront les E/S, l'espace disque et les cycles du processeur.

Quant au VPN, vous n'avez pas besoin de matériel dédié; il est trivial de configurer un VPN sur un serveur Linux ou FreeBSD.

Si vous ne vous sentez pas à l'aise d'en configurer un à partir de zéro, je recommande un VM avec pfSense. pour FreeBSD; strongSwan pour la configuration un VPN dans un serveur Linux.

Si votre serveur frontal est Linux, une autre alternative est le détournement de port. Cependant, en raison de son fonctionnement inhérent, je le recommande uniquement pour les paramètres domestiques. Comme correctement souligné par @GroundZero, "le détournement de port est une sécurité par obscurité et un attaquant peut surveiller activement votre trafic réseau pour découvrir la séquence de détournement."

Comment utiliser le port knocking pour cacher votre démon SSH aux attaquants sur Ubunt

Comme mesure supplémentaire, vous pouvez également limiter le débit avec les règles SYN de pare-feu/iptables dans le port 22. De cette façon, vous ne limitez pas vos connexions légitimes, et soit iptables sous linux, soit la plupart des pare-feu commerciaux permettent cette configuration. J'ai vu des astuces désagréables comme des bots attaquant certains démons aussi rapidement que possible avant que les règles de sécurité ne se déclenchent. Cependant, je crois réellement que ssh a des défenses intégrées contre cela.

Pour vous répondre sur le balayage rampant, oui en effet. Vous avez beaucoup de mauvais acteurs, des réseaux de zombies et des logiciels malveillants qui balaient constamment l'espace d'adressage IP pour trouver des serveurs avec des versions compromises de sshd, des versions sshd vulnérables/anciennes, des serveurs avec des mots de passe par défaut/mauvais/des portes dérobées connues, et simplement des serveurs avec openssh pour gagner un point d'ancrage chez un utilisateur non privilégié via la force brute ou des attaques à deux volets via le phishing.

Après trois attaques réussies via le phishing (dans des événements distincts) dans mon hôte bastion dans mon travail actuel, j'ai décidé de faire une double configuration ssh en ce que tous les utilisateurs sont invités à fournir un certificat RSA dans sshd_config, et seul le réseau interne permet l'authentification par mot de passe, ajoutant ainsi à la fin du fichier de configuration:

# sshd configuration allowing only RSA certificates
Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24
PasswordAuthentication yes

Comme autre récit anecdotique effrayant, avant de passer aux certificats RSA obligatoires, l'un des compromis de phishing a été effectué au cours de la semaine exacte, il y avait deux mises à jour du noyau pour les vulnérabilités qui permettaient une escalade de privilèges à la racine, et si je n'avais pas mis à jour sur place, je le ferais ont été compromis racine. (et si ma mémoire ne me manque pas, c'était vers le 4 juillet ... les hackers adorent sauver ces vilaines attaques pour les vacances)

En ce qui concerne les graphiques des attaques réelles en temps réel, jetez un œil à:

• L'interface graphique du projet nordique. C'est très éducatif.
• Une carte de attaques DDOS.
• ne vue gratuite du réseau central de surveillance de la sécurité de Checkpoint, où les agents sont leurs clients.

Pour terminer la réponse:

Non, vous n'êtes probablement aucunement compromis.

Oui, vous devez prendre des mesures pour augmenter votre niveau de sécurité. Je conseillerais un tunnel/client VPN de l'extérieur à votre serveur VPN d'entreprise. C'est ce que je fais en fait.

J'ai également un dernier et important conseil: pour vous assurer qu'un compte régulier n'est pas compromis, vérifiez votre /var/log/auth.log journaux d'authentification pour une authentification réussie. Il existe des moyens de se connecter à openssh avec n'importe quel compte sans qu'il soit enregistré dans /var/log/wtmp et par conséquent n'apparaissant pas dans la commande last.

Il va sans dire que si un compte normal est compromis dans une vieille machine sans mises à jour, tous les paris sont désactivés. Et dans le cas malheureux d'une élévation de privilèges à la racine, même les journaux peuvent être compromis.