EL PROTOCOLO SSH
SSH es un reemplazo seguro del (obsoleto) telnet que se usa para administrar remotamente una máquina. Tanto windows como linux tienen servidores ssh, aunque windows no lo incorpora «de serie», sino que tenemos que instalar algún software como por ejemplo freessh (http://www.freesshd.com/).
SSH COMO OBJETIVO DE LOS HACKERS
El protocolo ssh es muy lento de atacar por fuerza bruta, pero también es muy fácil … Por eso mismo, no es extraño ver en los logs del sistema continuos intentos de acceso vía ssh, que suelen proceder de BOTNETS, a nuestros servidores:
Mar 10 12:05:11 servidor sshd[1220]: Invalid user jaime from ::ffff:192.168.1.20
Mar 10 12:05:18 servidor sshd[1220]: Failed password for invalid user pedro from ::ffff:192.168.1.20 port 2446 ssh2
El hacker, simplemente prueba su suerte usando algún script para probar una larga lista de passwords recolectadas de algún modo, ya que el username es fácil de adivinar … root para linux y administrador/administrator para windows. Y claro, él tiene mucha más paciencia que nosotros.
TRES SIMPLES MEDIDAS PREVENTIVAS
Como medidas preventivas, porque más vale prevenir que curar, vamos a nombrar unas cuantas:
- Usar certificados como método de identificación para entrar, en lugar del «común» usuario/password: la mejor medida, pero requiere más trabajo, así que normalmente no nos la encontraremos implementada, y mucho menos en una intranet.
- Restringir el acceso mediante firewall a una serie de IPs, que son las que realmente se encargarán de administrar el servidor: también muy buena medida, pero todos tenemos en casa IPs estáticas, así que en la práctica no siempre es posible …
- Elegir passwords fuertes: esto debería hacerse siempre, independientemente de si estamos hablando de ssh o cualquier otro protocolo. No debería hacer falta nombrarlo.
- Cambiar el puerto en el que escucha ssh: el normal es TCP/22 ¿Y si lo cambiamos? Sí, es cierto que puede escanearse toda nuestra red hasta encontrarlo, pero cuesta trabajo y, por el camino, nos quitamos gusanos y script-kiddies de encima …
- No entrar con el usuario administrador/root: en linux, puede hacerse «su root» una vez que hemos loggeado. Y en windows, también existe un «sudo» (http://sourceforge.net/projects/sudowin) que podemos usar para las tareas de administración remota. Salvo que haya algún ataque por timing, basado en vulnerabilidades del servidor ssh, es bastante difícil imaginarse que el único usuario que puede loggear se llama «userdns09» …
RESUMEN
Simplemente con las medidas 3,4 y 5 podemos hacer la vida del cracker mucho más difícil. Son fáciles de implementar y nos evitaremos mirar alertas de nuestros IDS de la DMZ para nada…