attacchi bruteforce

[toledo]

dal giorno di natale che sono oggetto di attacchi quotidiani da parte di indirizzi IP localizzati in cina (protocollo che utilizza SSH).
le prime cose che ho fatto sono state la modifica della password ( più lunga e complessa);
chiusa la porta del nas sul router e sostituita la porta esterna che mi indirizza il traffico dall'esterno verso la porta privata del nas;
attivato il servizio di protezione, nella configurazione del nas, che dopo 5 tentativi falliti di accesso l'indirizzo IP viene permanentemente bloccato.
quali altre precauzioni dovrei prendere e come poter interrompere questi fastidiosi tentativi di intrusione?

[toledo]

avevo abilitato, per errore, la possibilità di accedere in SSH.

[marcudes]

...però accedere via SSH potrebbe servire nei casi di emergenza...

[toledo]

Come posso lasciare abilitato l'accesso via ssh senza essere tartassato dal primo cinese di turno?


Inviato da mio iPad utilizzando Tapatalk HD

[ninio]

Attiva il servizio VPN e abilita solo quella porta vedi che poi i cinesi al massimo li vedi al ristorante

[toledo]

intendi solo la porta 443 TCP oppure 1723 TCP?
a proposito simpatica la battuta.
grazie

[ninio]

La VPN PPTP usa come porta di default la 1723, mentre di default la 443 è utilizzata HTTPS
Devi ovviamente aprire solo la prima sul tuo router/modem

[gianlore]

Ma sei proprio sicuro che i cinesi ce l'abbiano con te? Fossi te controller ei prima "gli amici". Hanno altro da fare i cinesi che voler entrare nel tuo nascita.

Inviato dal mio GT-I9300 utilizzando Tapatalk

[toledo]

inserendo l'ip in questo sito http://www.ip-address.org/lookup/ip-locator.php sono risalito all'origine. ecco perché.

[terrornoize]

Ultimamente hanno bombardato anche a me (la prima volta mi ha riempito circa 70 pagine di log da 100 entry l'una) poi ho fatto come te, disabilitato quello che non mi serviva e banno definitivamente l'ip che faila l'accesso dopo 5 tentativi in 30 minuti.
Dopo qualche altro tentativo bloccato dopo poco, da una settimana a questa parte non ho più segnalazioni.

[peloo]

La VPN PPTP usa come porta di default la 1723, mentre di default la 443 è utilizzata HTTPS
Devi ovviamente aprire solo la prima sul tuo router/modem

La vpn è una connessione sicura?nessuno si può frapporre e sniffare i dati?

[ninio]

La VPN PPTP usa come porta di default la 1723, mentre di default la 443 è utilizzata HTTPS
Devi ovviamente aprire solo la prima sul tuo router/modem

La vpn è una connessione sicura?nessuno si può frapporre e sniffare i dati?

Non c'è nulla di sicuro sul web, ma il canale VPN è definito sicuro perché la trasmissione è cifrata, non perchè non sia attaccabile

[lele88]

sia io che un mio amico (io 469l e fastweb fibra, il mio amico ts-412 con fastweb adsl) appena abilitato il forward per l'ssh tempo 20 minuti ed io mi sono trovato un ip (partito dall'america) che tentava l'accesso e subito bannato, il mio amico dopo neanche 2 ore ha trovato 24 attacchi dalla cina tutti bannati che tentavano l'accesso tramite ssh in bruteforce... che capista hanno un radar che appena attivi l'ssh provano ad entrare?

[toledo]

la stessa cosa a me, non passano neanche 30 minuti che ecco ..... si presenta il primo cinese...

[lele88]

si che poi basta che usa un proxy e il cinese diventa russo o americano... xD

non fidatevi troppo della geolocalizzazione

[wozxyz]

Da quello che ho capito, ma non sono espertissimo, e quindi accetto bacchettate/correzioni, le cose vanno così: non è che hanno radar, il fatto è che l'ssh è lo standard per l'accesso remoto a sistemi unix e quindi c'è uno "spazzolamento" continuo per cercare di accedere usando le user e password più comuni.
Una password robusta è quindi la prima difesa, assieme all'esclusione dell'IP remoto dopo n tentativi di accesso in n minuti.
Ma dovrebbe essere risolutivo cambiare la porta.
Giusto?

[lele88]

non credo se fanno un minimo di scansione penso vedano comunque che il protocollo è ssh.. tentar non nuoce ma meglio mettere porte tipo 6895 penso

[terrornoize]

Comunque questi non sono veri e propri attacchi bruteforce ma tentativi con dizionari, per giunta in inglese... basta una password "personale" e al 99,9% siete fuori pericolo.

Poi basta settare il ban automatico dell'ip dopo tot fallimenti e il cinese/slavo di turno ha più possibilità di vincere 2 superenalotti consecutivi che sgamarvi la user e password nel giro di 5 tentativi.

Una bella password da 12 caratteri alfanumerica e magari con qualche simbolo (tipo il "!" al posto dell'1") + ban dell'ip dopo 5 tentativi e potete dormire sonni tranquillissimi.

[peloo]

Dove si va per impostare il ban dell'ip dopo x tentativi?

[glucabr]

Peloo, vai dentro pannello di controllo / protezione /protezione accesso alla rete.
Attento perché a me, non so come, aveva bloccato anche il mio IP personale e non vedevo più il NAS.
Ciao