¿Cómo debo defenderme contra los ataques de fuerza bruta de TightVNC?

Navega tus respuestas
4

¿Cómo debo defenderme contra este tipo de ataque? Este es un extracto de archivo de registro compacto de un servidor de linode cloud que ejecuta Ubuntu 12.04 (Preciso) con el paquete ubuntu-desktop agregado al servidor. De forma predeterminada, este servidor de nube Linux linode tiene exactamente un usuario llamado root . Ningún otro usuario será necesario para este servidor y se considera que sudo es inconveniente. Este servidor ejecuta exactamente una aplicación para un negocio anónimo muy pequeño. Cuando se ejecuta, la aplicación habla desatendida a través de un socket / puerto a través de Internet. La visualización de los resultados de la aplicación se produce a través de un túnel SSH para VNC. La administración de la luz se produce a través de ssh , sftp , scp y rsync with SSH .

Las IP que se muestran en el extracto no son la IP del cliente legítimo. 

05/06/12 20:07:32 Got connection from client 69.194.204.90
05/06/12 20:07:32 Non-standard protocol version 3.4, using 3.3 instead
05/06/12 20:07:32 Too many authentication failures - client rejected
05/06/12 20:07:32 Client 69.194.204.90 gone
05/06/12 20:07:32 Statistics:
05/06/12 20:07:32   framebuffer updates 0, rectangles 0, bytes 0

05/06/12 20:24:56 Got connection from client 79.161.16.40
05/06/12 20:24:56 Non-standard protocol version 3.4, using 3.3 instead
05/06/12 20:24:56 Too many authentication failures - client rejected
05/06/12 20:24:56 Client 79.161.16.40 gone
05/06/12 20:24:56 Statistics:
05/06/12 20:24:56   framebuffer updates 0, rectangles 0, bytes 0

05/06/12 20:29:27 Got connection from client 109.230.246.54
05/06/12 20:29:27 Non-standard protocol version 3.4, using 3.3 instead
05/06/12 20:29:28 rfbVncAuthProcessResponse: authentication failed from 109.230.246.54
05/06/12 20:29:28 Client 109.230.246.54 gone
05/06/12 20:29:28 Statistics:
05/06/12 20:29:28   framebuffer updates 0, rectangles 0, bytes 0

Esto es un problema porque, con el tiempo, tightvnc rechaza una nueva sesión de cliente legítima e informa que hubo demasiados errores de autenticación cuando el cliente legítimo intenta realizar una sesión de VNC. La solución es reiniciar y volver a cargar tightvnc con frecuencia.

    
pregunta H2ONaCl 07.06.2012 - 10:46
fuente

3 respuestas

5

Ya que solo está accediendo a VNC a través de un túnel SSH, simplemente cierre el puerto VNC en el firewall y elimine todos los intentos de conexión provenientes del exterior.

    
respondido por el Graham Hill 07.06.2012 - 11:14
fuente
2
  

tiene exactamente un usuario llamado root. Ningún otro usuario será necesario para este servidor

En primer lugar, me sorprendería mucho si realmente hay un solo usuario; es más probable que este sea el único que sepa quién tiene una cuenta de inicio de sesión. Si está en lo más mínimo preocupado por la seguridad / disponibilidad, entonces esto debería ser muy alto en su lista de cosas para abordar.

  

La visualización de los resultados de la aplicación se produce a través de un túnel SSH para VNC

Pero parece que la gente está intentando acceder al servidor VNC sin usar el túnel, por lo que no tiene un firewall (efectivo) en su lugar, y ha configurado el servidor vnc para permitir tales conexiones. No todas las versiones de VNC le permiten configurar el acceso por dirección IP, y se implementa de diferentes maneras; por lo tanto, como mínimo, debe comenzar bloqueando los puertos VNC para cualquier otra cosa que no sea 127.0.0.1 con iptables. Ubuntu proporciona una herramienta muy simple, gufw , para configurar su firewall.

También debe tomar medidas para restringir el acceso a ssh, ya que restringir el acceso a una lista blanca de redes, ejecutar fail2ban o usar el bloqueo de puertos son soluciones simples (pero esta última es difícil de integrar con gufw).

    
respondido por el symcbean 07.06.2012 - 15:07
fuente
2

Utilizaría DenyHosts para bloquear intentos después de X intentos, etc. Se puede configurar para bloquear todos los servicios, no solo SSH y es fácil de instalar. Es decir, si crees que te están apuntando, pero es una buena idea de todos modos con registros útiles.

    
respondido por el Richard Belisle 07.06.2012 - 15:45
fuente

Lea otras preguntas en las etiquetas

¿Los números de serie para certificados X.509 deben ser estrictamente secuenciales o pueden ser marcas de tiempo? SSLv3 Handshake pero cliente TLSv1 hola