Una para frikis.

La red local de mi casa sólo tiene expuestos 3 puertos accesibles desde Internet, configurados en el router ADSL con NAT. Uno es el tcp/22 para el servicio de SSH del ordenador principal (Ubuntu 7.04), y los otros son el tcp/4662 y udp/4672 para el aMule.

El caso es que prácticamente todos los días tenía intentos de ataque de fuerza bruta. Cientos y cientos de conexiones probando usuarios y contraseñas de lo más variopinto (además la lista de usuarios se repite entre un intento y otro, así que sospecho que será una lista habitual en alguna herramienta de “jaquing”)

Por un lado, no es problema. Mi contraseña no es adivinable mediante un ataque de diccionario. Pero la idea de tener a los “script kiddies” (término anglosajón para referirse a los “putos crios que quieren ser juankers“) dale que te pego con mi pobre puerto 22 no me hacía mucha gracia.

Podría haber cambiado el puerto de SSH a otro que no fuera el 22. Pero no me da la gana, los estándares están ahí para algo (y además se me olvidaría el puerto cada dos por tres)

Tampoco me apetecía andar instalando alguna aplicación o script complicado de las que hay por ahí para evitar estas cosas (firewalls, port knocking, sistemas de prevención de intrusos, etc.)

Al final encontré un artículo genial con la idea sencilla que me hacía feliz. Básicamente es una regla de iptables para limitar el número de conexiones al puerto tcp/22 que se pueden hacer desde un origen determinado, cada minuto.

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 –rttl –name SSH -j DROP

Lo tengo puesto en los scripts de arranque y parada de los interfaces de red (/etc/network/if-up.d/ y /etc/network/if-down.d/) y funciona a las mil maravillas. Ahora sigue habiendo intentos, pero despues de 4 conexiones, misteriosamente desaparecen