Pagina 1 di 1

Tentativi di accesso in SSH

Inviato: ven 23 gen , 2015 8:01 pm
da McFly
Ciao,
non sono grande esperto cisco ma pian piano mi sono fatto la mia configurazione su un 877W che uso a casa su Alice 7Mb, oggip er puro caso collegandomi per controllare se fosse tutto in ordine e facendo uno "sh caller" ho notato che vi era una linea vty con un user "summer" ho rilanciato lo "sh caller" e sulla stessa vty vi era "winter" poi "autumn" poi "tomaso" e così via.
Non sapendo cosa fare ho scollegato la linea dsl, poi ricollegandola sembra che l'attività si sia stoppata.
Come ulteriore prova ho creato una connessione con utente chiaramente non autorizzato "test" e senza immettere la password effettivamente viene impegnata una linee vty con tale utente.

Da quanto ho capito qualcuno sta tentando di forzare l'accesso al mio router tramite un qualche script che genera login da tabelle immagino, che poi non so che interessi abbia ad entrare nella mia rete boh

Come posso tutelarmi?
Il router ha già l' "Authentication retries: 3" non so se possa essere d'aiuto...

Posso stare abbastanza tranquillo?
Consigli?
E' possibile loggare questa situazione, magari con un check sulla porta ssh, e fare denuncia?

Re: Tentativi di accesso in SSH

Inviato: ven 23 gen , 2015 8:18 pm
da sergios79
È normale. Cercano di entrare con dei bot che fanno dei test su tutte le porte e poi provano utenti e password standard.
L'unico modo e avere una password sicura o disabilitare l'accesso esterno

Re: Tentativi di accesso in SSH

Inviato: ven 23 gen , 2015 9:41 pm
da McFly
Grazie per la risposta la password è abbastanza sicura ma provvederó ad allungare e codificare meglio.
Per l'accesso esterno mi farebbe comodo tenerlo aperto.

È possibile loggare questi movimenti?

Re: Tentativi di accesso in SSH

Inviato: lun 26 gen , 2015 12:03 am
da carini

Codice: Seleziona tutto

login block-for 360 attempts 6 within 90
login delay 5
login on-failure every 5
login on-success
In questo modo rallenti tantissimo i tentativi di login con il brute force. Anche con una password di media complessità sei più tranquillo

Lato server ti conviene implementare fail2ban

Re: Tentativi di accesso in SSH

Inviato: mer 28 gen , 2015 10:01 pm
da McFly
Grazie della risposta
ho provato proprio oggi ad usare il block-for e va alla grande, vedró di implementare i tuoi consigli.

Per il log ora vediamo, non ho una macchina sempre on per farci girare un logserver, potrei implementarlo su un raspberry o su openwrt