Zet gespuis op een zwarte lijst

DenyHosts is een securitytool voor Linux, FreeBSD, Mac OS X en Solaris. Het programma monitort pogingen om via SSH in te loggen op de server en blokkeert het IP-adres van de bron, als een bepaald aantal verkeerde loginpogingen overschreden wordt. Sinds vorig jaar komen dit soort brute force SSH-aanvallen steeds vaker voor en ze beginnen een echte plaag te worden. Natuurlijk hebben alle gebruikers van je server op jouw aanraden een sterk wachtwoord gekozen, dat nooit geraden wordt door deze aanvallen, maar je moet wel op het ergste voorbereid zijn. DenyHosts kan je daar bij helpen, en het houdt je via een e-mail op de hoogte, telkens als een IP-adres wordt geblokkeerd. Let er wel op dat je jezelf niet buitensluit! Zorg dat je IP-adres in /etc/hosts.allow staat, zodat je te allen tijde nog kan inloggen, zelfs als je een aantal keer per ongeluk een verkeerd wachtwoord hebt ingegeven.

Sinds versie 2.0 heeft het programma ook een synchronisatiemodus. Als je deze inschakelt, wordt elk IP-adres dat door een willekeurige DenyHosts-daemon geblokkeerd is doorgegeven aan een centrale server. Andere DenyHosts-daemons kunnen deze informatie opvragen en dit IP-adres eveneens blokkeren. Zo wordt elke gebruiker automatisch beschermd tegen computers die andere gebruikers hebben aangevallen. Een unieke vorm van crowdsourcing in de beveiligingswereld!

DenyHosts heeft echter ook zijn beperkingen. De black hats zijn immers al een stap verder en nemen nu steeds vaker hun toevlucht tot gedistribueerde SSH-aanvallen: een hele hoop computers proberen op dezelfde server in te loggen, met elk een verschillende combinatie van loginnaam en wachtwoord. Zo blijft elke computer onder het maximaal aantal gefaalde login-pogingen, maar kunnen ze samen wel veel meer loginpogingen doen om binnen te geraken, met een botnet zelfs duizenden pogingen. DenyHosts wordt hierdoor dus om de tuin geleid. De enige echte oplossing is het gebruik van certificaten in plaats van wachtwoorden voor SSH.

Bron: Techworld