On Tue, 2008-10-07 at 15:12 -0600, Morenisco wrote: > On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote: > [...] > > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro, > > si sufres de paranoia, cambiarlo de puerto seria mas efectivo. > Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222: > Nota: cambie la IP real por $IP > 1) Escaneo basico: > growing:/etc/ssh# nmap $IP > Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT > Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com > (10.157.153.250): > Not shown: 1708 closed ports > PORT STATE SERVICE > 80/tcp open http > 111/tcp open rpcbind > 113/tcp open auth > 222/tcp open rsh-spx > 902/tcp open iss-realsecure > 3128/tcp open squid-http > 8080/tcp open http-proxy > Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds
> --> Algo con remote shell esta siendo indicado en el puerto 222. > 2) Le hacemos un telnet al puerto 222: > > growing:/etc/ssh# telnet $IP > Trying 10.157.153.250... > Connected to 10.157.153.250. > Escape character is '^]'. > SSH-2.0-OpenSSH_5.1p1 Debian-2 > ^C^C^C^C^C^C^C > Connection closed by foreign host. > Intentar proteger los servicios via esconderlos no sirve, y se le denomina > "seciruty by obscurity". No, no te garantiza, pero es un buen filtro: la mayoria de los script kiddies hace lo mismo que hiciste: si lo pones en un puerto no usual como 22222, un nmap normal no lo calza. Si quieres ser realmente quisquilloso, pones DROP en cualquier cosa extran~a y el nmap se demora infinitamente y aburre. Asi que en mi experiencia, cambiarlo de puerto ha bajado la cantidad de script kiddies a 0, basta revisar los logs. La parte de paranoia me refiero a que es normal que intenten entrar al puerto 22, ya sea para probar algun usuario/clave tonto o por error; si tienes alguna politica respecto a esto deberias poder dormir tranquilo. -- Aldrin Martoq <[EMAIL PROTECTED]> http://aldrinvideopodcast.podshow.com/
