El código base OpenSSH ha agregado protección incorporada contra ataques automatizados de adivinación de contraseñas, durante los cuales los robots intentan adivinar la contraseña de un usuario probando varias combinaciones típicas. Para bloquear tales ataques, se agregó el parámetro PerSourcePenalties al archivo de configuración sshd_config, que le permite definir un umbral de bloqueo que se activa cuando hay una gran cantidad de intentos fallidos de conexión desde la misma dirección IP. El nuevo mecanismo de seguridad se incluirá en la próxima versión de OpenSSH y estará habilitado de forma predeterminada en OpenBSD 7.6.
Cuando la seguridad está habilitada, el proceso sshd comienza a monitorear el estado de terminación de los procesos secundarios, identificando situaciones en las que falló la autenticación o cuando un proceso finalizó de manera anormal debido a una falla. Una alta tasa de fallas de autenticación indica intentos de adivinar contraseñas y las fallas pueden indicar intentos de explotar vulnerabilidades en sshd.
El parámetro PerSourcePenalties especifica el umbral mínimo de eventos anormales, después de exceder el cual se bloqueará la dirección IP para la cual se registró actividad sospechosa. Con el parámetro PerSourceNetBlockSize, puede definir adicionalmente una máscara de subred para bloquear toda la subred a la que pertenece la IP problemática.
Para deshabilitar el bloqueo de subredes individuales, se ha propuesto el parámetro PerSourcePenaltyExemptList, que puede ser útil en situaciones que conducen a falsos positivos, por ejemplo, cuando se accede al servidor SSH desde una red grande, las solicitudes de diferentes usuarios provienen de la misma IP. debido al uso de direcciones de traductor o proxy.
Fuente: opennet.ru
