Etiqueta: seguretat

Atacs SSH: protegeix el teu servidor

Quan tens un servidor a Internet exposes la teva màquina a milers d’atacs sobre aquest buscant vulnerabilitats en el sistema per accedir-hi utilitzant els usuaris del sistema. Com a mètodes d’atac tenim l’atac de força bruta i l’atac de diccionari. Aquesta entrada explica les opcions que tenim per evitar aquests tipus d’atacs.

 

Logo del keepass

Quan tens un servidor a Internet exposes la teva màquina a milers d’atacs sobre aquest buscant vulnerabilitats en el sistema per accedir-hi utilitzant els usuaris del sistema. Hi ha diversos tipus d’atacs però en aquesta entrada ens centrarem en els atacs SSH.

Com a mètodes d’atac tenim l’atac de força bruta i l’atac de diccionari. L’atac per força bruta consisteix en anar provant totes les possibles combinacions d’una contrasenya sobre un usuari fins aconseguir l’accés al sistema, el que pot comportar molt de temps per aconseguir entrar en el sistema. Justament per això apareixen els atacs de diccionari que el que fan es aprofitar-se que la majoria de les contrasenyes que es posen es basen en paraules que tenen un significat, doncs bé, es proven aquestes paraules reduint el número de proves a realitzar i conseqüentment el temps d’accés al sistema. Per evitar això el millor és seguir una política de contrasenyes per a que aquestes no siguin fàcils de reconèixer per cap dels dos tipus d’atac mencionats anteriorment. També es poden fer servir eines com el Keepass que et permet emmagatzemar (en un fitxer encriptat) i generar contrasenyes segures (amb caràcters especials, longitud determinada, …). A part, en el nostre servidor també podem dur a terme algunes tasques per evitar que ataquin el nostre servidor com les que llistem a continuació:

  • utilitzar el firewall del nostre servidor
  • utilitzar l’utilitat denyhosts
  • modificar el fitxer hosts.allow i el hosts.deny
  • modificar la configuració de l’ssh

Utilitzar el firewall del nostre servidor

Mitjançant el firewall del nostre servidor, podem permetre o denegar l’accés a unes determinades IP:

  • Permetem totes les connexions al port 22 des de la IP 66.23.45.78:
[nom_usuari@nom_servidor rc.d]# iptables -A INPUT -p tcp -m state --state NEW --source 66.23.45.78 --dport 22 -j ACCEPT
  • Deneguem la resta de connexions al port que utilitza SSH:
[nom_usuari@nom_servidor rc.d]# iptables -A INPUT -p tcp --dport 22 -j DROP

Aquestes modificacions també es poden dur a terme al fitxer /etc/rc.d/rc.local, així aconseguirem que s’executi cada vegada que engeguem la nostra màquina, afegint una regla per permetre l’accés a determinats ports (per exemple 22, 25, 80), sense especificar cap IP i denegar la resta prèviament

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp -m multiport --destination-ports 22,25,80 -j ACCEPT

 

Utilitzar l’utilitat Denyhosts per evitar atacs SSH

Denyhosts és un script escrit en Python que analitza els missatges de log del servidor sshd per decidir quins hosts estan intentant dur a terme un atac al teu sistema.  També determina quins comptes d’usuari són els que s’ataquen així com la freqüència dels atacs SSH des de cada host.

Cada cop que es detecta un possible atac repetit, el fitxer /etc/hosts.deny es actualitzat per prevenir possibles intents en el futur d’aquest host.

 

Modificar el fitxer hosts.allow i el fitxer hosts.deny

 

Tal i com s’ha comentat anteriorment, amb l’eina Denyhosts s’automatitza el fet de retocar els fitxers hosts.deny i hosts.allow manualment, però si no es vol fer automàticament, es poden afegir manualment les IPs dels hosts que es volen denegar i que es volen acceptar respectivament en aquests fitxers.

Si tenim el cas que coneixem una IP (per exemple: 67.223.43.212) que es intenta connectar-se al nostre servidor repetidament i li volem denegar l’accés, podem escriure el següent en el fitxer hosts.deny:

sshd: 67.223.43.212

I per permetre l’accés a una IP nostra (per exemple: 66.67.82.47), hem de modificar el fitxer hosts.allow

sshd: 66.67.82.47/255.255.255.0

El fitxer hosts.allow preval sobre el fitxer hosts.deny o sigui que si posem en hosts.deny sshd:ALL i en hosts.allow posem alguna IP permetrà l’accés a les IPs que hi hagi al hosts.allow.

Modificar la configuració de l’SSH

El servei de SSH a CentOS es configura mitjançant el fitxer /etc/ssh/sshd_config.  En aquest fitxer es poden configurar les següents directives

  • No permetre l’accés a l’usuari root mitjançant SSH
PermitRootLogin no
  • Permetre l’accés a determinats usuaris (per exemple usuari marc i usuari xavi):
AllowUsers marc xavi

 

Un cop modificat aquest fitxer, s’ha de reiniciar el servei SSH mitjançant la següent comanda /etc/init.d/ssh restart.

 

Nota: aquesta entrada parla de la distribució CentOS però pot servir per a la majoria de distribucions Linux

Prevenir el clickjaking: frame killer

Avui a la feina ens hem trobat amb un problema i es que la pàgina de la nostra empresa esta essent cridada des de un iframe per algú que ha copiat bona part del nostre domini i que el que fa es mostrar la nostra pàgina amb dins del seu domini.

Tècnicament podríem dir que es tracta d’una duplicació de contingut en un altre domini que no és el que l’ha creat. Si això ho fa la marca que té el contingut, no passa res, però en el cas que ens trobem ho fa una persona que no ha demanat autorització per afer-ho. A més a més la nostra web tracta amb afiliats i aquests mitjançant un paràmetre en la nostra URL ens notifiquen que ens porten el transit des de les seves pàgines. D’aquesta manera podem portar el recompte de visites que ens proporcionen els nostres afiliats.

Bé doncs, en el nostre cas es tracta d’un afiliat més, però amb la diferència que aquest afiliat es beneficia de l’error en teclejar el nostre domini per portar-nos trànsit adjuntant el seu codi d’afiliat a la URL, però “copiant” (ja que ha inserit un iframe de la nostra web sencera en un domini seu) la nostra web sencera fent pensar que el domini també es nostre.

Que és el clickjacking?

El clickjacking, segons la wikipedia, es tracta d’una tècnica maliciosa d’enganyar a un usuari web emmagatzemant informació confidencial o agafant el control del seu ordinador mentre fan clicks en pàgines que aparentment són inofensives. El clickjacking normalment s’incrusta en una pàgina web mitjançant un codi embegut o un script que es pot executar sense el coneixement de l’usuari, com per exemple fer click en un botó que sembla fer altres funcions, diferents a les que es van definir inicialment.

Prevenció del clickjaking

Per evitar que ens facin clickjacking, del cantó del servidor, tenim la possibilitat d’afegir un tros de codi Javascript anomenat framekiller (o també framebuster or framebreaker) dins de les pàgines que no volem que siguin incloses dins de frames d’altres sites. Un proposta inicial de script per evitar el clickjacking podria ser:

<script type="text/javascript">//
<![CDATA[
  if(top != self) top.location.replace(location);
// ]]>
</script>

La solució d’aplicar un codi JavaScript es bona però té per contra alguns problemes com poden ser:

  • el navegador de l’usuari no suporta JavaScript (avui en dia és poc probable).
  • el navegador de l’usuari suporta JavaScript però l’usuari l’ha desactivat.
  • el comportament del navegador de l’usuari ha estat modificat per un virus o unn plugin sense el consentiment de l’usuari

En un paper del 2010 de Gustav Rydstedt, Elie Bursztein, Dan Boneh i Collin Jackson s’apunten les limitacions de les tècniques de frame-bursting i es proposa proposa la següent versió:

 <script type="text/javascript">
// <![CDATA[
if( self == top ) {     
    document.documentElement.style.display = 'block';  
} else {     
    top.location = self.location ;  
}
// ]]>
</script>

Requereix que el navegador suporti JavaScript i aquest estigui actiu. El site també ha d’aceptar JavaScript.

El codi utilitza CSS per convertir la pàgina en no visible si esta dins d’un iframe, mentre fa el canvi perque el iframe desapareixi. Per contra els buscadors poden trobar una pàgina en blanc el que pot tenir un efecte advers.