¿CÓMO IMPEDIR LOS ATAQUES DE FUERZA BRUTA EN EL SSH?:

Estos ataques se les conoce también como brute force attack, se puede decir que son el terror de los servidores y sitios web. Estos ataque intrusivos los sufrimos todos ya sea en mayor o menor dimensión, y si hay algo realmente atractivo para los hackers es obtener el acceso a un servidor vía SSH.

Debemos estar atentos ya que no podemos confundir los ataques de fuerza bruta con los que intentos de una denegación de servicio (DDos), porque que ambas son distintas, ya que el DDos nos invade de peticiones hasta que logra tumbar el servicio, mientras que el de fuerza bruta intenta descubrir nuestras contraseñas a base de intentar acceder a ellas. Por este motivo se sugiere que se usen contraseñas seguras.

Puede que no te des cuenta de la cantidad de intentos de acceso fallidos que se generan al cabo del día, la verdad es que se puede decir que son varias

Como impedir ataques de fuerza bruta al puerto SSH:
Para impedir estos ataques de fuerza bruta al puerto SSH es fácil si hacemos un buen uso de las pautas de iptables. Vamos a implantar algunas reglas que obligue a iptables o nftables a impedir cualquier ip, que intente entrar a nuestro sistema vía ssh en un tiempo determinado; a la mayoría nos gusta establecer un mínimo de 3 intentos en un tiempo máximo de 30 segundos, pero tu podrás optar por un minimo 5 intentos en un minuto si así lo deseas.

Suponiendo que posees el puerto ssh abierto, si no es el 22 debes modificar las reglas usando los siguientes comandos:

  1. iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j ACCEPT

Introduce las tres reglas en la terminal linux una por una:

  1. iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
  2. iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 30 –hitcount 3 –rttl –name SSH -j LOG –log-prefix ‘SSH-HIT-RATE: ‘
  3. iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 30 –hitcount 3 –rttl –name SSH -j DROP
  4. Otras opciones que puedes modificar:

–dport: por defecto 22, se puede modificar.
–seconds: para definir el tiempo en segundos.

–hitcount: para establecer los intentos de acceso máximos permitidos en un tiempo determinado.

Si quieres revisar que las reglas hayan sido introducidas de manera correcta, ejecuta el siguiente comando y revisar iptables o nftables.

  1. iptables -L
    Las nuevas reglas te dará los registros fácilmente reconocibles, ya que todos poseen el prefijo .

en el se se puede visualizar usando el comando less:

  1. less +F /var/log/messages

Deja un comentario