Repentini attacchi SSH, c'è soluzione?

[Dario]

Da quando ho attivato il servizio in oggetto, ricevo diversi report di sicurezza di attacchi da remoto.
Dato che questi signori, con IP cinesi o turchi, insistono per diverse ore con una specie di bruteforce sulle varie porte, mirate all'account root (attivo di defaul su freenas); c'è modo che se dovessero indovinare porta e password il sistema blocchi comunque l'accesso a quell'IP dopo che tenta la password per più di 3 volte???

 

[panz]

FreeNAS non è fatto per essere esposto direttamente su Internet.

 

[M_a_X_Italy]

Come ti sei accorto degli attacchi ? Hai un screen shot ?
Cmq cambia la pass.... tipo Ciao-La-Mia-Pass-pesa-100Kg... o peggio di cosi

 

[panz]

La documentazione (che, non mi stancherò mai di ripetere, va letta sempre e attentamente) dice chiaramente che FreeNAS deve essere sempre dietro ad un "properly configured firewall". :)

 

[M_a_X_Italy]

Beh... É dura... Bisognerebbe avere un server dedicato

Inviato dal mio Galaxy Nexus powered by cyanogen mod 11

 

[Dario]

Dopo diversi anni di onorato servizio del mio Netgear, sul quale avevo impostato con successo l'accesso esclusivo dall'indirizzo pubblico del mio ufficio (da dove ho l'esigenza di accedere) sulla porta SSH, tra un paio di giorni mi troverò (per passaggio a fibra) a sostituire il router con un dispositivo elementare quale Fastgate o similari.
Per cui ho necessità di proteggere l'accesso SSH tramite chiavi RSA; fino ad oggi l'autenticazione SSH è stata semplicemente protetta da potentissima password, però ormai metodo obsoleto e poco sicuro.
Ho cercato una guida generica su autenticazione tramite scambio chiavi, ma non sono riuscito a portare a termine l'operazione...

La mia procedura è la seguente:
- Sul servizio SSH di FreeNas disabilitati flag su "Login come Root con password" e "Consente Autenticazione con Password", dapprima abilitati per la normale autenticazione tramite Username e password...
- Generate Private e Public "SSH-2 RSA" Key con Puttygen;

Qui iniziano i dubbi...
Dovrei incollare nel box del servizio SSH di Freenas "Chiave Privata Host" tutto il contenuto del file generato come Public Key?
Es.:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-xxxxxxx"
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
---- END SSH2 PUBLIC KEY ----

e poi far caricare il file generato come Private Key al client SSH; ad esempio su ES Gestione file del mio Smartphone (da dove prima accedevo senza problemi con le semplici credenziali) selezionando però l'opzione "Login con chiave privata"...

Se si, vorrei sapere dove sbaglio, in quanto ci sto sbattendo da giorni senza risultati...

 

[enemy85]

Dopo diversi anni di onorato servizio del mio Netgear, sul quale avevo impostato con successo l'accesso esclusivo dall'indirizzo pubblico del mio ufficio (da dove ho l'esigenza di accedere) sulla porta SSH, tra un paio di giorni mi troverò (per passaggio a fibra) a sostituire il router con un dispositivo elementare quale Fastgate o similari.
Per cui ho necessità di proteggere l'accesso SSH tramite chiavi RSA; fino ad oggi l'autenticazione SSH è stata semplicemente protetta da potentissima password, però ormai metodo obsoleto e poco sicuro.
Ho cercato una guida generica su autenticazione tramite scambio chiavi, ma non sono riuscito a portare a termine l'operazione...

La mia procedura è la seguente:
- Sul servizio SSH di FreeNas disabilitati flag su "Login come Root con password" e "Consente Autenticazione con Password", dapprima abilitati per la normale autenticazione tramite Username e password...
- Generate Private e Public "SSH-2 RSA" Key con Puttygen;

Qui iniziano i dubbi...
Dovrei incollare nel box del servizio SSH di Freenas "Chiave Privata Host" tutto il contenuto del file generato come Public Key?
Es.:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-xxxxxxx"
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
---- END SSH2 PUBLIC KEY ----

e poi far caricare il file generato come Private Key al client SSH; ad esempio su ES Gestione file del mio Smartphone (da dove prima accedevo senza problemi con le semplici credenziali) selezionando però l'opzione "Login con chiave privata"...

Se si, vorrei sapere dove sbaglio, in quanto ci sto sbattendo da giorni senza risultati...

domanda (e suggerimento)...non fai prima a crearti una VPN sul router ed accedi ai file tramite VPN come se fossi sulla tua LAN? io faccio così e mi sembra abbastanza sicura come cosa...certo si perde in velocità per il passaggio tramite VPN

 

[glauco]

Concordo sulla VPN come soluzione.
L'unico inconveniente è se devi lavorare da dispositivi su cui, non essendo amministratore, puoi configurare il client VPN.
Vedi se riesci a configurare un server VPN sul router.

 

[glauco]

Se non vuoi sbatterti con la VPN e se il router te lo consente, potresti limitare l'ingresso ai soli indirizzi IP esterni da cui ti colleghi in SSH.
Se gli indirizzi IP da cui ti colleghi cambiano spesso (come è il caso di una connessione da cellulare) e sempre se il router te lo consente, potresti limitare l'ingresso ad un hostname che puoi ottenere gratuitamente da un servizio gratuito di DNS dinamico come https://freedns.afraid.org/dynamic/
Per tenere aggiornata la corrispondenza tra l'hostname da te scelto e l'IP, puoi usare uno dei tanti client oppure, se sei su Android, io trovo comodo mettere nella Home un collegamento al "Direct URL" che ti forniscono.