Tentativi di accesso in SSH

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
McFly
n00b
Messaggi: 9
Iscritto il: lun 10 nov , 2014 7:03 pm

Ciao,
non sono grande esperto cisco ma pian piano mi sono fatto la mia configurazione su un 877W che uso a casa su Alice 7Mb, oggip er puro caso collegandomi per controllare se fosse tutto in ordine e facendo uno "sh caller" ho notato che vi era una linea vty con un user "summer" ho rilanciato lo "sh caller" e sulla stessa vty vi era "winter" poi "autumn" poi "tomaso" e così via.
Non sapendo cosa fare ho scollegato la linea dsl, poi ricollegandola sembra che l'attività si sia stoppata.
Come ulteriore prova ho creato una connessione con utente chiaramente non autorizzato "test" e senza immettere la password effettivamente viene impegnata una linee vty con tale utente.

Da quanto ho capito qualcuno sta tentando di forzare l'accesso al mio router tramite un qualche script che genera login da tabelle immagino, che poi non so che interessi abbia ad entrare nella mia rete boh

Come posso tutelarmi?
Il router ha già l' "Authentication retries: 3" non so se possa essere d'aiuto...

Posso stare abbastanza tranquillo?
Consigli?
E' possibile loggare questa situazione, magari con un check sulla porta ssh, e fare denuncia?
sergios79
n00b
Messaggi: 10
Iscritto il: mar 17 ott , 2006 1:36 pm

È normale. Cercano di entrare con dei bot che fanno dei test su tutte le porte e poi provano utenti e password standard.
L'unico modo e avere una password sicura o disabilitare l'accesso esterno
McFly
n00b
Messaggi: 9
Iscritto il: lun 10 nov , 2014 7:03 pm

Grazie per la risposta la password è abbastanza sicura ma provvederó ad allungare e codificare meglio.
Per l'accesso esterno mi farebbe comodo tenerlo aperto.

È possibile loggare questi movimenti?
Avatar utente
carini
Network Emperor
Messaggi: 275
Iscritto il: mar 18 apr , 2006 2:17 pm
Località: Como
Contatta:

Codice: Seleziona tutto

login block-for 360 attempts 6 within 90
login delay 5
login on-failure every 5
login on-success
In questo modo rallenti tantissimo i tentativi di login con il brute force. Anche con una password di media complessità sei più tranquillo

Lato server ti conviene implementare fail2ban
Immagine
McFly
n00b
Messaggi: 9
Iscritto il: lun 10 nov , 2014 7:03 pm

Grazie della risposta
ho provato proprio oggi ad usare il block-for e va alla grande, vedró di implementare i tuoi consigli.

Per il log ora vediamo, non ho una macchina sempre on per farci girare un logserver, potrei implementarlo su un raspberry o su openwrt
Rispondi