OpenSSH memperkenalkan opsi untuk memberi sanksi pada perilaku tidak normal

 (undeadly.org)
1 poin oleh GN⁺ 2024-06-08 | 1 komentar | Bagikan ke WhatsApp
  • Opsi baru bernama PerSourcePenalties dan PerSourcePenaltyExemptList diperkenalkan ke sshd(8)
    • PerSourcePenalties: fitur untuk mendeteksi perilaku klien yang tidak normal dan menjatuhkan sanksi
    • PerSourcePenaltyExemptList: fitur untuk mengecualikan alamat klien tertentu dari sanksi

Deteksi dan sanksi terhadap perilaku tidak normal

  • sshd(8) mendeteksi perilaku tidak normal seperti klien yang berulang kali gagal dalam autentikasi atau menyebabkan sshd crash.
  • Jika perilaku seperti ini terdeteksi, alamat klien akan dikenai sanksi berupa penolakan koneksi selama jangka waktu tertentu.
  • Jika pelanggaran berulang, durasi sanksi akan meningkat.

Pengaturan default dan hal yang perlu diperhatikan

  • PerSourcePenalties secara default dinonaktifkan, tetapi akan segera diaktifkan secara default. (mulai OpenBSD 7.6)
  • Jika banyak pengguna terhubung dari balik blok NAT atau proxy, trafik yang sah bisa ikut terblokir.
  • Di sshd_config(5), opsi PerSourcePenalties, PerSourcePenaltyExemptList, dan PerSourceNetBlockSize perlu disesuaikan agar cocok dengan lingkungan yang digunakan.

Opini GN⁺

  • Penguatan keamanan: Fitur ini dapat memperkuat keamanan dengan memblokir percobaan akses tidak normal secara efektif.
  • Kemudahan pengelolaan: Ada opsi untuk mengecualikan klien tertentu dari sanksi sehingga lebih mudah dikelola.
  • Perhatian pada lingkungan NAT: Jika banyak pengguna memakai IP yang sama di lingkungan NAT, pengguna yang sah bisa ikut terblokir sehingga perlu kehati-hatian.
  • Aktif secara default: Saat diaktifkan secara default, pemblokiran yang tidak terduga dapat terjadi, sehingga administrator perlu meninjau pengaturannya lebih dulu.
  • Fitur serupa di industri: Perangkat lunak server SSH lain juga menyediakan fitur keamanan serupa, sehingga dapat dibandingkan dan ditinjau sesuai kebutuhan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-08
Komentar Hacker News
  • Pengalaman menulis server SSH: Pada IPv4, karena penggunaan CGN, kemungkinan pengguna yang tidak bersalah terkena dampak menjadi lebih tinggi. Pada IPv6, mendapatkan IP baru mudah sehingga metode perlindungan ini tidak efektif. Sebagian besar serangan hanyalah serangan kamus sederhana, jadi disarankan menggunakan kunci SSH.
  • Peringatan penggunaan kata sandi SSH: Menggunakan kata sandi untuk SSH yang terekspos ke internet sangat berbahaya. Menggunakan kunci lebih nyaman dan aman.
  • Kompleksitas konfigurasi: Sistem penalti terlihat rumit, dan nilai default-nya tidak didokumentasikan. Harus membaca source code, tetapi enggan memasang klien CVS.
  • Menggunakan solusi yang sudah ada: Sudah memakai fail2ban, dan tidak ingin menambahkan lebih banyak kode ke sshd.
  • Kelebihan fitur bawaan: Sudah mencoba MaxAuthTries dan fail2ban, dan ada peningkatan pada fitur bawaan.
  • Kritik terhadap fitur: Karena mudah mendapatkan IP baru, fitur ini mungkin tidak efektif. Ini juga bisa membuat debugging lebih sulit, dan dapat menimbulkan masalah di banyak perusahaan.
  • Masalah serangan botnet: Mungkin tidak efektif terhadap serangan yang menggunakan botnet.
  • Mempertanyakan perlunya fitur ini: Ini dapat menimbulkan ketidaknyamanan bagi orang yang sudah menggunakan solusi yang ada. Diperlukan scripting yang fleksibel.
  • Kritik terhadap pendekatan keamanan: Fitur baru fail2ban dan sshd merupakan pendekatan keamanan yang tidak prinsipiel. Disarankan hanya mengizinkan login dari jaringan tepercaya.
  • Pertanyaan kompatibilitas OpenBSD: Banyak orang tidak tahu apakah fail2ban telah di-port ke OpenBSD.