Postado originalmente por
rrinfor
Olá!
O ssh, ou
Secure Shell é um protocolo de rede que permite a conexão com outro computador na rede tcp/ip, de forma a executar comandos em um dispositivo remoto. algo parecido com o telnet, mas com o direfencial da conexão entre o cliente e o servidor ser criptografada.
quanto aos ataques por ssh existe uma maneira mais personalizada de se proteger sem bloquear a porta pois é um serviço muito interessante, no meu caso uso o ssh para enviar mudanças para o mikrotik e outros servidores Unix/Linux atreavés do meu gerenciador que utiliza ssh para acesso remoto segue abaixo um exemplo de blacklist para ssh retirando do wiki do Mikrotik:
/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address=!192.168.2.2 src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp
Nas regras acima um host remoto ao tentar acessa seu equipamento irá passar por 3 estágios, sendo que na quarta tentativa de acesso seu ip
(atacante) vai para um
blacklist que fica em
/ip firewall address-list criado pelas regras acima, dessa forma vc poderá manter o serviço ativo sem ser prejudicado por um acesso indevido, os ips dos atacantes é mantido no blacklist por um periodo de 30 dias conforme a opção
address-list-timeout=4w2d da segunda regra, e tbm deve ser observado uma exeção que eu adicionei na primeira regra ex:
src-address=!192.168.2.2, tive que especificar o meu endereço para eu memso nao ser bloqueado :-)
Abraços