Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Bobs 24. 01. 2016, 16:28:58
-
Domácí router Cisco řady 800, připojení přes VDSL2 od O2.
Dnes mě napadlo začít logovat zakázané pokusy o kontakt zvenku. Navěsil jsem logy na zákazy v access-listu, který je v in směru na interface Dialer1. Syslogy si posílám na syslog server (syslog-ng) ve Fedoře.
Pro vás to nejspíš nebude žádnou novinkou, ale já velmi udiven tím, kolik neustálých pokusů o kontakt zvenku se děje - zejména se jedná o telenet, http, různé icmp pakety, samba, ssh,.... hrubým odhadem tak 2x za minutu někdo/něco provede pokus o kontakt. Ani ve snu jsem netušil, že je ten provoz až takhle hustý.
Zdrojové IP jsou různé, z celého světa. Jen celkem vyjímečně přijdou dva různé pokusy o kontakt ze stejné IP.
Interpretuji věc správně, když v tom vidím pokus o hacking? :O
V této souvislosti se nabízí otázka - jak jsou vlastně v reálu zabezpečené takové ty domází multifunkční routery za pár stovek? :O
-
Domácí multifunkční routery v defaultním nastavení prostě tento vnější provoz v tichosti ignorují.
-
Si zkuste na Internet vystrcit ssh server na defaultnim portu. Pri trose stesti zachytite i veci, jako 10000 pokusu o spojeni za hodinu z jedne ip adresy. Samozrejme nejaky bot.
-
Ani ve snu jsem netušil, že je ten provoz až takhle hustý.
Zdrojové IP jsou různé, z celého světa. Jen celkem vyjímečně přijdou dva různé pokusy o kontakt ze stejné IP.
Interpretuji věc správně, když v tom vidím pokus o hacking? :O
Ani ne tak hacking jako spis Script kiddies...
-
Si zkuste na Internet vystrcit ssh server na defaultnim portu. Pri trose stesti zachytite i veci, jako 10000 pokusu o spojeni za hodinu z jedne ip adresy. Samozrejme nejaky bot.
Jojo, mě napadlo něco podobného. Možná by mohlo být vcelku zajímavé ten provoz zvenku nezahazovat, ale raději jej odklonit na nějaký fake server, který by se mohl tvářit třeba jako nějaký děravý router kamsi.... no a sledovat provoz - co se bude dít. Věřím, že by z toho mohla být celkem výživná lekce z IT bezpečnosti. :p
-
Si zkuste na Internet vystrcit ssh server na defaultnim portu. Pri trose stesti zachytite i veci, jako 10000 pokusu o spojeni za hodinu z jedne ip adresy. Samozrejme nejaky bot.
Jojo, mě napadlo něco podobného. Možná by mohlo být vcelku zajímavé ten provoz zvenku nezahazovat, ale raději jej odklonit na nějaký fake server, který by se mohl tvářit třeba jako nějaký děravý router kamsi.... no a sledovat provoz - co se bude dít. Věřím, že by z toho mohla být celkem výživná lekce z IT bezpečnosti. :p
https://cs.wikipedia.org/wiki/Honeypot (https://cs.wikipedia.org/wiki/Honeypot)
-
to su vsetko skripty..a reaguju celkom rychlo, staci aby vysla nejaka nova zranitelnost a uz to skusaju s uplnymi novinkami :)
-
Možná by mohlo být vcelku zajímavé ten provoz zvenku nezahazovat, ale raději jej odklonit na nějaký fake server, který by se mohl tvářit třeba jako nějaký děravý router kamsi.... no a sledovat provoz - co se bude dít. Věřím, že by z toho mohla být celkem výživná lekce z IT bezpečnosti. :p
Takový honeypot je občas docela zábavný. Záleží na tobe, do jaké hloubky ho propracuješ, jestli jen pro čtení nebo i fingovaný zápis či skutečný zápis do nějakého trezoru.
Většina těch pokusů bude za účelem získání dalšího zombie do nějakého botnetu.
-
Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb. Teda, já mám ale pitomý nápady. :p
Jinak, ten honeypot je vážně moc pěkná záležitost. Taková bezpečnostní laboratoř do které hrozby "na pitevní stůl" přicházejí samy. :)
-
Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb. Teda, já mám ale pitomý nápady. :p
Ty routery to obvykle umí, zapisují do logu obsah IP hlavičky i to, jak s takovým paketem naložily. Stačí jen zapnout logování a případně ho přesměrovat na externí logovací server, protože vnitřní paměť je omezená.
-
Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, ...
https://www.turris.cz/cs/ (https://www.turris.cz/cs/)
-
Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb. Teda, já mám ale pitomý nápady. :p
Jinak, ten honeypot je vážně moc pěkná záležitost. Taková bezpečnostní laboratoř do které hrozby "na pitevní stůl" přicházejí samy. :)
Tady je ukázka z honeypotu na Turrisu, další lze najít na Youtube.
https://www.turris.cz/doc/navody/ssh-honeypot (https://www.turris.cz/doc/navody/ssh-honeypot)
další zajímavé odkazy:
https://honeymap.cz/ (https://honeymap.cz/)
https://blog.nic.cz/2015/07/13/kdo-nam-stoura-do-turrisiho-ssh-honeypotu/ (https://blog.nic.cz/2015/07/13/kdo-nam-stoura-do-turrisiho-ssh-honeypotu/)
https://blog.nic.cz/2014/12/10/utoky-na-webovy-honeypot/ (https://blog.nic.cz/2014/12/10/utoky-na-webovy-honeypot/)
https://blog.nic.cz/2015/09/16/nenechavy-router-botnet/ (https://blog.nic.cz/2015/09/16/nenechavy-router-botnet/)
https://www.youtube.com/results?search_query=kippo (https://www.youtube.com/results?search_query=kippo)
-
Ty routery to obvykle umí, zapisují do logu obsah IP hlavičky i to, jak s takovým paketem naložily. Stačí jen zapnout logování a případně ho přesměrovat na externí logovací server, protože vnitřní paměť je omezená.
Tohle vím. V prvním příspěvku, kterým jsem otevřel tuhle diskuzi, jsem přece zmínil, že to loguji a posílám si to na syslog server - syslog-ng na PC se Fedorou.
Já měl ale na mysli něco jiného. Myslel jsem z hlediska uživatele transparentní mechanismus. Např. router by měl defaultně nastavené, že syslog zprávy musí zasílat routeru ISP a ISP by od uživatelů tyhle mesidže sbíral a sám by byl zapojený do sítě spolu s dalšími ISP, příp. dalšími subjekty, které by všechny tyhle údaje automaticky zasílané uživateli, vyhodnocovali. To, že si sám nastavím log a odesílání na svůj domácí počítač a následně se kochám tím, jak seznam narůstá, to je sicě pěkné, ale nic moc to neřeší. :)
-
Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, ...
https://www.turris.cz/cs/ (https://www.turris.cz/cs/)
Jéjej, teď si připadám jako Jára Cimrman ve svém vynalézacím období. :DD
-
to a@a: Koukám, že ten Turris je opravdu hodně zajímavá "hračka" zjevně se na něm vyřádili dost chytří lidi.
Hmmm, tak něco takového jsem mlhavě měl na mysli.
Koukám, že to vychází z OpenWRT.
-
Ještě také záleží kdo ho hackuje: http://www.novinky.cz/zahranicni/amerika/392602-fbi-provozovala-web-s-detskym-pornem-dva-tydny-lovila-pedofily.html ;D
-
já velmi udiven tím, kolik neustálých pokusů o kontakt zvenku se děje - zejména se jedná o telenet, http, různé icmp pakety, samba, ssh,.... hrubým odhadem tak 2x za minutu někdo/něco provede pokus o kontakt. Ani ve snu jsem netušil, že je ten provoz až takhle hustý.
Veřejných IPv4 adres je málo, napadených a napadnutelných zařízení hodně. Útočníkovi se prostě vyplatí zkoušet náhodně generované IP adresy, protože má velkou šanci, že se trefí do aktivní adresy, a dobrou šanci, že tam bude nějaké napadnutelné zařízení. Jediné, co útočník potřebuje, je konektivita a čas nějakého zařízení, a to rád obětuje, protože to není jeho – je to konektivita a čas jím dříve napadených zařízení.
V této souvislosti se nabízí otázka - jak jsou vlastně v reálu zabezpečené takové ty domází multifunkční routery za pár stovek? :O
Pokud by to byl jen router, bylo by mu to úplně jedno – protože tohle jsou útoky na servery, a na čistém routeru žádný server neběží. Jenže ty domácí routery toho dělají mnohem víc, obvykle se ovládají přes webové rozhraní, takže na nich běží webový server, často také mají nějaký SSH nebo Telnet server, někdy na nich běží různé další služby, o některých ani uživatel neví a o některých občas pořádně neví ani výrobce. No a s těmito službami už je to horší, ty bývají často děravé – zrovna tady na Rootu o tom vycházejí články docela často.
-
Ještě také záleží kdo ho hackuje: http://www.novinky.cz/zahranicni/amerika/392602-fbi-provozovala-web-s-detskym-pornem-dva-tydny-lovila-pedofily.html ;D
Tak to by meli sami sebe zavrit za drzeni a sireni detskeho porna.
-
Pokud by to byl jen router, bylo by mu to úplně jedno – protože tohle jsou útoky na servery, a na čistém routeru žádný server neběží. Jenže ty domácí routery toho dělají mnohem víc, obvykle se ovládají přes webové rozhraní, takže na nich běží webový server, často také mají nějaký SSH nebo Telnet server, někdy na nich běží různé další služby, o některých ani uživatel neví a o některých občas pořádně neví ani výrobce. No a s těmito službami už je to horší, ty bývají často děravé – zrovna tady na Rootu o tom vycházejí články docela často.
Jen technická - Pod pojmem router jsem samozřejmě neměl na mysli čistě funkci routeru, ale zařízení, zpravidla multifunkční, které mimo jiné vykonává funkci routeru.
--------------
Jinak, právě jsem se na youtube podíval na několik videí - záznamů hackování honeypotů a přiznám se, že mě některých těch hackerů bylo až líto. Někteří jsou evidentně hodně schopní. Možná by nebylo od věci někde do haneypotu schovat třeba texťák obsahující zprávu o tom, že když došel až sem, tak má u mě flašku jako odměnu za príma show, které mi představil. Hmmm, třeba gcc, když by to hacker použil, by mohl pokaždé "zbuildovat" nějaký takový texťák. :D
-
Jinak, právě jsem se na youtube podíval na několik videí - záznamů hackování honeypotů a přiznám se, že mě některých těch hackerů bylo až líto. Někteří jsou evidentně hodně schopní.
Ty automatické pokusy,které jste zaznamenal, ale nedělají schopní hackeři – to dělají automaty, které klidně mohl spustit někdo, kdo vůbec netuší, jak to vlastně funguje. Prostě to jen někde stáhl a spustil.
-
Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb.
Gratuluji, teď jste dospěl přibližně k protokolu NetFlow :-). Sběr, korelace, analýzy - všechno už tady je :-(, viz Flowmon sondy a řešení nad nimi. Ale nevzdávejte to, bez zvídavosti a nadšení to nejde.
-
Gratuluji, teď jste dospěl přibližně k protokolu NetFlow :-). Sběr, korelace, analýzy - všechno už tady je :-(, viz Flowmon sondy a řešení nad nimi. Ale nevzdávejte to, bez zvídavosti a nadšení to nejde.
No, príma. Tak až NetFlow bude běžnou součástí domácích routerů, které zákazníci většinou obdrží od svého ISP, tak dejte vědět. Trochu totiž pochybuji, že si většina lidí domů bude pořizovat router třídy aspoň tak 1900. I když je fakt, že na ebay se tyhle routery starší dají koupit docela levně, i pod 5 tisíc, což už se cenově blíží dražším domácím multifunkčním krabičkám. :)