❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

zabezpeceni ssh

Návody a problémy s konfigurací.
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Re: zabezpeceni ssh

Příspěvekod ludvik » 6 years ago

A ty jsi zase vyšel od někoho jiného :-)

Nemusím to tam testovat. Je to tam spíš jako pojistka (ne pro mě). Výkonu to nestojí nic.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

imhotepcz
Příspěvky: 10
Registrován: 12 years ago

Příspěvekod imhotepcz » 6 years ago

rsaf píše:
Myghael píše:Doporučil bych všechno zvenku znepřístupnit a vzdálený přístup řešit pomocí VPN.

To je sice fajn ale ne vždy ideální, zvláště když se tam potřebuješ připojit narychlo někde z cest z cizího PC.

Jinak mě to prostě připadá zbytečná paranoia. Mám několik zařízení (mikrotik to ale asi není), která jsou již mnoho let vystrčená do internetu s SSHčkem na portu 22, používají se tam hesla (bezpečná) a kromě plnících se logů se nic neděje. Myslím si, že v OpenSSH nebyla nějaká použitelná remote zranitelnost už hooodně let.

Jinak málokdy povoluji SSH zvenčí přímo na zařízení - většinou se SSHčkuju na nějaký server a do zařízení až z něj. Pro stejný účel mám windowsovou virtuálku, kam chodím vzdálenou plochou.


kdyby mi to nehackli ver tomu ze bych to neresil, mam spoustu jiny prace.
0 x

ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 6 years ago

Na druhou stranu proti hackům z poslední doby ti to stejně vlastně nepomůže.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

rsaf
Příspěvky: 1669
Registrován: 18 years ago

Příspěvekod rsaf » 6 years ago

Žádný z těch hacků ovšem nebyl přes SSH. Port knocking je dobrá varianta
0 x

imhotepcz
Příspěvky: 10
Registrován: 12 years ago

Příspěvekod imhotepcz » 6 years ago

ludvik píše:
imhotepcz píše:i toto jsem vyzkousel a kdyz se prihlasim na ssh tak se nestane nikde nic, navic tu druhou cast prilis nechapu. pridal sem tam jeste port 2222 tak ze ted tam je dst-port=22,8291,2222 a nic se nedeje, a nebo deje a nevim kam se kouknout.

Tohle funguje. Pravidlo způsobí to, že při první paketu na port 22 skočí do chainu sshchain. Pokud je to první paket (za nějakou dobu) dojde až na předposlední pravidlo a uloží IP do toho addresslistu. A následující pravidlo tu konexi akceptuje.
Pokud během minuty přijde další nová konexe, už nezabere předposlední pravidlo, ale předpředposlední ... a pak poslední opět akceptuje.
Čtvrté připojení už to uloží do addresslistu blacklistu.
Páté skončí hned na prvním pravidle ... a nedovolí připojení, protože tam už je DROP.

Každý řádek firewallu má počítadlo.


ano to je toto,

Kód: Vybrat vše

add action=drop chain=sshchain comment="SSH prevent brute force" src-address-list=sys_ssh_blacklist
add action=accept chain=sshchain comment="whitelist" src-address-list=sysSshWhitelist
add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3
add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2
add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1
add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new
add action=accept chain=sshchain

to ale neudela nic, ja tedy nic nevidim


Kód: Vybrat vše

[admin@MikroTik-internet] /ip firewall filter> /ip firewall address-list print
Flags: X - disabled, D - dynamic
#   LIST                                                                                                     ADDRESS                                                                                                                      CREATION-TIME        TIMEOUT           
0   orange                                                                                                   192.168.100.0/24                                                                                                             sep/01/2018 10:04:05
1   orange                                                                                                   192.168.101.0/24                                                                                                             sep/01/2018 10:04:05
2   orange                                                                                                   192.168.102.0/24                                                                                                             sep/01/2018 10:04:05
3   blue                                                                                                     192.168.100.0/24                                                                                                             sep/01/2018 10:04:05
4   blue                                                                                                     192.168.102.0/24                                                                                                             sep/01/2018 10:04:05
5 D ssh_blacklist                                                                                            125.65.42.181                                                                                                                nov/01/2018 15:58:07 28m20s             
6 D ssh_blacklist                                                                                            193.201.224.232                                                                                                              nov/01/2018 17:28:20 1h58m33s           
7 D ssh_blacklist                                                                                            139.162.75.112                                                                                                               nov/02/2018 02:41:54 11h12m8s           
8 D ssh_blacklist                                                                                            116.31.116.45                                                                                                                nov/02/2018 16:48:22 1d1h18m35s         
9 D ssh_blacklist                                                                                            46.119.119.241                                                                                                               nov/03/2018 07:26:29 1d15h56m42s       
10 D ssh_blacklist                                                                                            42.56.89.209                                                                                                                 nov/03/2018 14:13:49 1d22h44m2s         
11 D pptp_blacklist                                                                                           107.152.138.204                                                                                                              nov/04/2018 01:49:56 2d10h20m10s       
12 D ssh_blacklist                                                                                            195.154.102.193                                                                                                              nov/04/2018 12:38:30 2d21h8m43s         
13 D api_blacklist                                                                                            107.152.138.204                                                                                                              nov/04/2018 18:52:59 3d3h23m12s         
14 D api-ssl_blacklist                                                                                        107.152.138.204                                                                                                              nov/04/2018 18:53:06 3d3h23m19s         
15 D ssh_blacklist                                                                                            139.162.207.228                                                                                                              nov/04/2018 23:34:09 3d8h4m22s         
16 D ssh_blacklist                                                                                            97.107.130.28                                                                                                                nov/04/2018 23:34:11 3d8h4m24s         
17 D ssh_blacklist                                                                                            54.213.202.52                                                                                                                nov/06/2018 08:00:49 4d16h31m2s         
18 D ssh_blacklist                                                                                            212.129.48.45                                                                                                                nov/06/2018 15:25:24 4d23h55m37s       
19 D ssh_blacklist                                                                                            208.100.26.231                                                                                                               nov/06/2018 19:49:32 5d4h19m46s         
20 D ssh_blacklist                                                                                            117.50.7.159                                                                                                                 nov/10/2018 21:21:29 1w2d5h51m42s       
21 D ssh_blacklist                                                                                            185.246.128.25                                                                                                               nov/10/2018 22:44:41 1w2d7h14m55s       
22 D ssh_blacklist                                                                                            103.207.39.11                                                                                                                nov/11/2018 04:00:51 1w2d12h31m4s       
23 D pptp_blacklist                                                                                           212.111.43.128                                                                                                               nov/11/2018 08:06:19 1w2d16h36m32s     
24   blacklist-trvale                                                                                         117.50.7.159                                                                                                                 nov/11/2018 08:34:36
25   blacklist-trvale                                                                                         46.119.119.241                                                                                                               nov/11/2018 08:39:42
26   blacklist-trvale                                                                                         97.107.130.28                                                                                                                nov/11/2018 08:41:36
27   blacklist-trvale                                                                                         103.207.39.11                                                                                                                nov/11/2018 08:42:39
28   blacklist-trvale                                                                                         116.31.116.45                                                                                                                nov/11/2018 08:43:33
29   blacklist-trvale                                                                                         125.65.42.181                                                                                                                nov/11/2018 08:46:26
30   blacklist-trvale                                                                                         139.162.75.112                                                                                                               nov/11/2018 08:47:38
31   blacklist-trvale                                                                                         185.246.128.25                                                                                                               nov/11/2018 08:48:50
32   blacklist-trvale                                                                                         193.201.224.232                                                                                                              nov/11/2018 08:49:40
33   blacklist-trvale                                                                                         208.100.26.231                                                                                                               nov/11/2018 08:50:57
34   blacklist-trvale                                                                                         212.129.48.45                                                                                                                nov/11/2018 08:52:02
35 D ssh_blacklist                                                                                            61.184.247.12                                                                                                                nov/11/2018 12:52:09 1w2d21h22m22s     
36 D ssh_blacklist                                                                                            119.29.130.253                                                                                                               nov/11/2018 13:01:26 1w2d21h31m39s     
37 D ssh_blacklist                                                                                            122.226.181.166                                                                                                              nov/11/2018 13:36:23 1w2d22h6m35s       
38 D ssh_blacklist                                                                                            200.33.171.13                                                                                                                nov/11/2018 13:48:11 1w2d22h18m24s     
39 D ssh_blacklist                                                                                            5.188.10.182                                                                                                                 nov/11/2018 13:52:37 1w2d22h22m50s     
[admin@MikroTik-internet] /ip firewall filter>

pro predstavu co mi to hlasi a kolik utoku a zablokovanych adres uz mam ale jen na ssh do mikrotiku coz je port 22 to funguje bez potizi ale ja mam pomoci nat nasmerovan port 2222 z venci na port 22 do vnitr tam to nemuzu rozchodit.

druha cast dotazu smerovala na toto

Kód: Vybrat vše

/ip firewall filter
add chain=input comment=navazane connection-state=established,related,untracked

#nejenom ochrana tim pocitanim konexi, ale zaroven globalnejsi povoleni addresslistem
add action=jump chain=input connection-state=new dst-port=22,8291 jump-target=sshchain protocol=tcp src-address-list=sysInputNets

#sem samozrejme prijdou ostatni povoleni INPUTu

#a konci se dropem vseho ostatniho
add action=drop chain=input

nevim co to ma delat, ale pokud sem to nasadil, tak mi klienti se zacali ozyvat ze jim nejde internet ale me sel, oni jsou ale v jine siti, ty mam 3 domaci, wifi, a web server s postou, kazda szt muze nekam jinam, domaci sit treba vsude ale sit kde jsou weby jen do internetu, jinam ne. je to okopirovany ipcop site green, blue, orange, a red byl internet.
0 x

ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 6 years ago

Jak říkám, studuj. Chain je něco jako podprogram. Pokud tam neuděláš v cestě paketu JUMP, tak to prostě nic dělat nebude.
Firewall INPUT neovlivní nic, co je za routerem.

Pokud to chceš i na forwardu, tak potřebuješ stejný JUMP. A nejspíš i cílovou ip/síť, nebo interface. Ale je to prostě forward.

Opravdu, dej na mě. Jen tak kopírování částí pravidel do firewallu router ani síť nezabezpečíš, pokud nevíš co děláš a hlavně co pak dělá ten výsledek. My tě to tu nenaučíme.

Každý pokus o připojení pak napočítá jeden paket, viz příloha.
Přílohy
ssh_chain.png
ssh_chain.png (5.36 KiB) Zobrazeno 1341 x
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.