[institut] [FWD] Bezbednosni napadi na SSH servis u okviru AMRES-a

Dusan Vudragovic dusan at phy.bg.ac.yu
Thu Nov 20 14:50:17 CET 2008 

>
> From: "Dusan Pajin" <dpajin at rcub.bg.ac.rs>
> Date: November 20, 2008 11:56:55 AM GMT+01:00
> Subject: Bezbednosni napadi na SSH servis u okviru AMRES-a
>
> Poštovane kolege,
>
> Želim da vam skrenem pažnju o povećanom broju bezbednosnih napada u  
> okviru Akademske mreže prethodnih dana.
> Napad je vrsta „dictionary“ napada na SSH pristup računarima i  
> serverima. Prvo se skeniraju opsezi IP adresa po portu 22, kako bi  
> se pronašli računari koji imaju otvoren SSH pristup, a zatim se  
> pokušava pristup tim IP adresama preko velikog broja predefinisanih  
> kombinacija username/password.
> Naravno, većina ovih napada je generisana van Akademske mreže,  
> međutim u slučaju uspešnog napada i pristupa nekom računaru, napadi  
> se dalje šalju sa kompromitovanog uređaja.
>
> Zahvaljujući svesrdnoj pomoći kolege Vanje Koraća iz Matematičkog  
> Instituta SANU, ustanovili smo o kakvoj se vrsti napada radi.  
> Generalni problem pri ovakvim napadima jesu loše izabrane lozinke  
> korisnika koje su generalno suviše kratke, iste kao korisničko ime  
> ili predstavljaju konkretne reči. Ovakve lozinke se mogu uspešno  
> pogoditi sa „dictionary“ napadima.
> Želeo bih da vam sugerišem nekoliko jednostavnih pravila kojih se  
> treba držati pri konstruisanju lozinke, koje naravno treba preneti  
> krajnjim korisnicima. Ova pravila su najbolji način odbrane od  
> navedenih napada.
> Lozinka treba da ima minimalnu dužinu od 10 alfanumeričkih karaktera.
> Lozinka treba da sadrži mala slova, velika slova, brojeve i  
> alfanumeričke karaktere.
> Cela lozinka ili njen deo nije konkretna reč nijednog jezika ili  
> slenga.
> Lozinka nije konstruisana na osnovu nekih ličnih informacija  
> (određenog datuma, imena, broja telefona i sl.).
> Lozinke menjati u vremenskom intervalu od najduže godinu dana.
> Ne saopštavati nikome svoju lozinku.
>
> Prema sugestiji kolege Koraća, želim da vam prenesem dodatno,  
> informaciju o softveru koji vam može pomoći u suzbijanju napada.
> Softver je besplatan, namenjen Linux-u i zove se DenyHosts (http://denyhosts.sourceforge.net/ 
> )
> Ovaj softver omogućava blokiranje IP adresa u slučaju određenog  
> broja neuspešnih pokušaja logovanja preko SSH, na određeni postojeći  
> ili nepostojeći korisnički nalog.
> Na taj način možete da blokirate IP adresu potencijalnog napadača,  
> posle 3, 5 ili 10 neuspešnih pokušaja logovanja, čime ćete sprečiti  
> uspešno izvođenje „dictionary“ ili „brute-force“ napada.
>
> Srdačan pozdrav,
> Dušan Pajin
> RCUB

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.ipb.ac.rs/pipermail/institut/attachments/20081120/28592c5d/attachment.htm>

More information about the institut mailing list