OpenSSH, desarrollado como parte del proyecto OpenBSD, ha introducido nuevas opciones de configuración para su daemon SSH (sshd) que prometen mitigar los intentos maliciosos de acceso no autorizado.
La actualización, liderada por el desarrollador Damien Miller, incorpora dos características clave: PerSourcePenalties y PerSourcePenaltyExemptList. Estas adiciones están diseñadas para refinar cómo sshd maneja el comportamiento sospechoso de los clientes, asegurando que los usuarios legítimos no se vean indebidamente afectados.
Nuevas Funcionalidades para Mayor Seguridad
La nueva opción PerSourcePenalties permite a sshd monitorear y responder a comportamientos anómalos detectados durante el proceso de autenticación SSH. Al habilitar esta función, sshd rastrea los estados de salida de sus procesos de sesión previos a la autenticación para identificar actividades potencialmente dañinas.
Ejemplos de tales actividades incluyen intentos repetidos de inicio de sesión fallidos, que pueden sugerir un intento de adivinación de contraseñas, o acciones que causen la caída de sshd, posiblemente indicando un esfuerzo de explotación.
Implementación de Penalizaciones Dinámicas
Bajo este sistema, si un cliente exhibe un comportamiento que conduce a un estado de salida problemático, sshd impone una penalización temporal en la dirección IP del cliente, bloqueando nuevas conexiones desde esta dirección y otras dentro del mismo bloque de red durante un período especificado.
Este período de penalización puede aumentar con ofensas repetidas, hasta un umbral máximo. Es importante destacar que esta función está diseñada para adaptar su respuesta basada en la severidad y frecuencia de las ofensas, convirtiéndola en una herramienta dinámica contra ataques de red.
Lista de Exenciones para Clientes de Confianza
Por otro lado, la opción PerSourcePenaltyExemptList permite a los administradores especificar direcciones IP o rangos exentos de estas penalizaciones, asegurando que los clientes de confianza no enfrenten problemas de conexión debido a medidas de seguridad estrictas. Esto es particularmente útil para direcciones que pueden desencadenar falsos positivos en entornos más sensibles.
Damien Miller expresó optimismo sobre las nuevas características, señalando que «harán significativamente más difícil para los atacantes encontrar cuentas con contraseñas débiles o adivinables o explotar fallos en sshd».
Comparación con Herramientas Existentes
Muchos podrían comparar la nueva característica con la popular herramienta Fail2Ban, y tienen razón; son funcionalmente similares. Sin embargo, estamos hablando de una implementación nativa de esta funcionalidad directamente en sshd, lo cual es fantástico.
Es importante notar que esto no significa que Fail2Ban ya no sea útil. Esta herramienta tiene muchas características adicionales, como la gestión de varios tipos de autenticación y el tratamiento específico de diferentes usuarios, por lo que no se debe apresurar a retirarla cuando la nueva característica esté disponible en su implementación de OpenSSH.
Para obtener más información, visite el anuncio en el OpenBSD Journal.