質問

意図しない外部からの SSH 接続試行がありました。どのように対処するのが良いでしょうか。

回答

対処法として、以下の 2 点がございます。

• ① ポート番号の変更
• ② フィルター設定

① ポート番号の変更

デフォルトでは、SSH のポート番号は 22 番となっております。

推測されにくい番号へ変更することで、効果が見られる可能性があります。

避けた方が良い番号

• 22 番
  SSH のデフォルトポートとして、最も多くの攻撃対象となる。
• 2222 番
  SSH の代替ポートとしてよく使われるため、攻撃ツールやボットがスキャン対象に含めることが多い。
• 「22」が含まれる番号（例：10022, 20022, 2200 等）
  管理者が「22」を避ける意図でよく使う番号。攻撃者もこれを熟知しているため、スキャン対象にされやすい。
• 502 番
  一部の IoT 機器や特殊な SSH 用途で使われることがあり、実際に攻撃対象となった事例が報告されている。

CLI での設定例

amnimo(cfg)# ssh
amnimo(cfg-ssh)# port 51538 ←例として 51538 ポートへ変更
amnimo(cfg-ssh)# enable
amnimo(cfg-ssh)# exit

② フィルター設定

不正な SSH の攻撃は、同一接続元から何度もアクセスを受けることがあります。

ここでは、フィルター設定を変更することで、制限をかける設定例を示します。

説明

モバイルネットワークからのパケットにおいて、同一接続元からの SSH 接続が 3 回まで連続で接続
可能、4 回目の接続は 1 回目から 1 分を経過後、接続可能になる設定を記載します。

CLI での設定例

amnimo(cfg)# filter input default-policy drop  ←パケット入力のデフォルトポリシーを drop
に設定
amnimo(cfg)# filter input 10
amnimo(cfg-fin-10)# match conntrack state related,established
amnimo(cfg-fin-10)# policy accept
amnimo(cfg-fin-10)# enable
amnimo(cfg-fin-10)# exit
amnimo(cfg)# filter input 20
amnimo(cfg-fin-20)# match in-interface lo
amnimo(cfg-fin-20)# policy accept
amnimo(cfg-fin-20)# enable
amnimo(cfg-fin-20)# exit
amnimo(cfg)# filter input 100
amnimo(cfg-fin-100)# match protocol tcp dst-port 51538 ←SSH ポートへのパケット ※1
amnimo(cfg-fin-100)# match protocol tcp flags syn,rst,ack,fin syn ←syn パケットは、syn
フラグのみの設定されているパケットを許可し、他のフラグ(rst,ack,fin)が同時に設定されているパケット
は破棄する。
amnimo(cfg-fin-100)# match conntrack state new ←初回接続パケットを許可
amnimo(cfg-fin-100)# match hashlimit upto 1/minute ←1 分に 1 回接続制限
amnimo(cfg-fin-100)# match hashlimit burst 3 ←入力連続 3 回制限 ※2
amnimo(cfg-fin-100)# match hashlimit mode srcip ←同一接続先制限
amnimo(cfg-fin-100)# match in-interface ecm0 ←インターフェイス ecm0 に限定 ※3
amnimo(cfg-fin-100)# policy accept
amnimo(cfg-fin-100)# enable
amnimo(cfg-fin-100)# exit

※1 SSH のポート番号を 51538 へ変更した前提です。

※2 no match hashlimit burst を設定した場合も、デフォルト設定として 5 回制限になります。

※3 インターフェイスを限定しない場合は不要です。