Fórum Root.cz
Hlavní témata => Server => Téma založeno: Vladimír Drgoňa 11. 12. 2018, 16:27:06
-
Ahojte, na serveri mám funkčný fail2ban, rovnako aj iptables ktorými blokujem útoky, sú na serveri. Na routri (Openwrt) mám tiež funkčné iptables. Dá sa upraviť iptables-*.conf v priečinku /etc/fail2ban/action.d/ tak aby nespúšťali príkazy lokálne, ale cez
ssh root@router ...Samozrejme router by to zvládol, bežne mám zablokovaných 5 - 20 IP, z ktorých idú pernamentné útoky, hlavne na postfix a ssh. Rovnako mi je jasné, že na routri budem musieť pridať kľúč do .ssh/authorized_keys, aby som sa naň cez ssh vedel pripájať.
Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne. Aký by to malo pre mňa zmysel? Nemuseli by mi bežať 2x iptables, všetky útoky by som odrazil hneď na routri a toto riešenie sa mi javí akoby priamejšie.
-
postfix a ssh
Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot ;) To sa riesi VPNkou. A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl.. Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..
-
Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot ;) To sa riesi VPNkou.
Otázka neznela či používať ssh na serveri. Inak beží na celkom inom porte, pokusov je minimálne množstvo ale sú. Samozrejme VPN mám, ale nie vždy mám po ruke zariadenie ktorým sa viem cez VPN pripojiť - nie je na heslo.
A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl..
Nepýtal som sa ako nakonfigurovať postfix.
Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..
Nezaujíma ma názor na používanie fail2ban, mne funguje dobre a som spokojný s tým čo robí.
Pýtal som sa:
Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne. Aký by to malo pre mňa zmysel? Nemuseli by mi bežať 2x iptables, všetky útoky by som odrazil hneď na routri a toto riešenie sa mi javí akoby priamejšie.
-
Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne.
Ano a ja som odpovedal, ze fungujuce riesenie je nakonfigurovat to spravne s VPNkou a riadne nakonfenym postfixom + iptablami. Cokolvek ine je vizitka hodna tak 1st level support junior admina.
Ale ked sa bavime o tom dotiahnut tuto prasacinu k dokonalosti tak ano , obycajny skript, ktory sa sshckne na router a zada tam command iptables -I INPUT -i eth0 -s 1.2.3.4 -j DROP a zaroven napriklad pomocou "atd" vyhodi toto pravidlo o nejaky cas z iptablov tak to bude funkcne.
-
fail2ban ... tajne som dufal ze s tymto "zazrakom" sa v roku 2018 uz nestretnem ale vidim ze ludia su nepoucitelni...
-
Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot ;) To sa riesi VPNkou. A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl.. Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..
Proc je SSH pro blazny, zatimco VPN ne?
-
Proc je SSH pro blazny, zatimco VPN ne?
toto by zaujimalo aj mna, v com je problem. ja mam tiez ssh povolene von a overenie usera vyhradne cez certifikat (ako dlhodobo doporucuje p. krcmar)
ako si pomozem s VPN?
-
Pretoze na ssh, http prebieha najviac automatizovanych utokov.
Dalej detekovat otvoreny tcp port je jednoduche. Detekovat otvoreny UDP port je mozne, ale nie kazdy vie ako..
Dalej napriklad openVPN Ta posle do zadeke hned ako nebude sediet prvy paket (tls-auth) a nebude sa tvojim spojenim ani zaoberat este predtym ako vobec pride ku kontrole certifikatu a hesla..
Cim usetris vypoctovy vykon servera, a znizis sancu ze sa tam niekto dostane..
Teda vpnkou znizis sancu na DoS,auspesne lognutie alebo to ze vobec niekto pride na to, ze Ti tam nieco bezi o 99.9 percent.. Nevidim ani jeden rozumny dovod na to zbytocne cokolvek otvarat do netu.
A ked ano a ma to byt spravene nejak takto (k comu mam ja vazne vyhrady) tak miesto fail2banu by som zvolil asi radsej port knocking a tu kombinaciu portov pravidelne menil.
Takcitak ten postfix bude treba poriesit nejak rozumne.
-
Proc je SSH pro blazny, zatimco VPN ne?
toto by zaujimalo aj mna, v com je problem. ja mam tiez ssh povolene von a overenie usera vyhradne cez certifikat (ako dlhodobo doporucuje p. krcmar)
ako si pomozem s VPN?
Dôležitejšie ako spôsob pripojenia je pre mňa bezpečnosť uloženia certifikátov. Pripojenie z nezabezpečeného mobilu s nakonfigurovanou VPN (videl som to na vlastné oči) je ešte väčšia hlúposť ako pripojenie cez SSH z notebooku s heslom nbu123 (to som nevidel, ale heslo bolo svojho času populárne).
-
Pretoze na ssh, http prebieha najviac automatizovanych utokov.
to nie je argument. rovnako mozem povedat, ze najviac ludi zomiera v posteli. je preto lepsie spavat v kresle alebo na zemi? :)
Cim usetris vypoctovy vykon servera...
vykon nie je problem, tych par volani ma nezabije. bezia tam daleko vypoctovo narocnejsie ulohy
Nevidim ani jeden rozumny dovod na to zbytocne cokolvek otvarat do netu.
asi tomu nerozumiem, ale ved aj tan VPN musi mat otvoreny port aby sa tam klient pripojil. nie?
takze sa bavime o tom, ci je bezpecnejsi SSH server vs VPN server. je to tak? security bug moze by v oboch. stale mi nejak nedochadza ako presne ma niekto hackne cez to SSH ale VPN ma spolahlivo ochrani. kedze na SSH sa autentikujem certifikatom (a za predpokladu, ze mi private key neunikne - to uz je moja blbost) je mi uplne sumak, ze tam niekto bude skusat rozne usernames... naozaj mi nejde o flame, ale asi som stale prehliadol argument, ktory by ma prinutil zamysliet sa a poskriabat sa za uchom s tym ze "aha, tak to je VPN ozaj lepsia ako SSH cert".
-
Cim usetris vypoctovy vykon servera, a znizis sancu ze sa tam niekto dostane..
S tým výpočtovým výkonom to nebude také horúce. Známy má na routeri falošný sshd server v minimálnom lxc kontaineri, kde beží iba ssh server, na ktorý sa nedá cez ssh prihlásiť - nie je tam žiaden user, iba root, má zakázaný login cez password a prázdny súbor .ssh/authorized_keys. Denne má stovky útokov na tom porte a router podľa neho "chrápe". Je presvedčený že keď robot nájde otvorený ssh port, buší do neho "jak hluchý do vrat" a ďalšie porty nechá na pokoji. Na začiatku to bol iba malý test, ale osvedčil sa mu, tak ho nechal bežať.
Len som chcel zdôrazniť že keď takúto záťaž zvládne malý Arm, Mips alebo čo to tam vlastne má za procesor, poriadny server takúto záťaž ani nebude vedieť zaznamenať.
-
Je presvedčený že keď robot nájde otvorený ssh port, buší do neho "jak hluchý do vrat" a ďalšie porty nechá na pokoji. Na začiatku to bol iba malý test, ale osvedčil sa mu, tak ho nechal bežať.
ja mam podobnu skusenost a to, ze ak je ssh port 22 premapovany na nejake netypicke cislo, napr. vyssie ako 3000 tak "busenie do vrat" klesne minimalne o 95%.
-
....
Dobre tak si to zhrnieme..
otvoreny port ssh = detekujem obycajnym telnetom a ked mam tvoj certifikat (okej sanca ho ziskat je mala) tak som u teba pripojeny (pripadne este aj heslo).
Vpn = udp otvorene detekujem len ak viem o linuxe a sietach trochu viac ako pouzivat telnet a k tomu aby som sa do tej VPN pripojil potrebujem presne 2kluce + 1 certifikat + mozem chciet aj heslo. Ked sa pripojim do Vpn tak potrebujem dalsi kluc/dalsie heslo na login cez ssh na ktore mi nebudu liezt script kiddies, pretoze cez vpnku sa nedostanu.
Obidve riesenia su funkcne a asi aj maju malu sancu na prelomenie, ale pri tom druhom je to akosi principialne lepsie.. To je vsetko co som chcel povedat.
Nech si kazdy vyberie co uz a za vhodne, ale potom sa tu hrame s hlupostami ako fail2ban, ktory pri spravne nakonfenej sluzbe (akejkolvek) nema na serveri opodstatnenie.
-
s tymto kompletne suhlasim.
-
Dobre tak si to zhrnieme..
otvoreny port ssh = detekujem obycajnym telnetom a ked mam tvoj certifikat (okej sanca ho ziskat je mala) tak som u teba pripojeny (pripadne este aj heslo).
Vpn = udp otvorene detekujem len ak viem o linuxe a sietach trochu viac ako pouzivat telnet a k tomu aby som sa do tej VPN pripojil potrebujem presne 2kluce + 1 certifikat + mozem chciet aj heslo. Ked sa pripojim do Vpn tak potrebujem dalsi kluc/dalsie heslo na login cez ssh na ktore mi nebudu liezt script kiddies, pretoze cez vpnku sa nedostanu.
Obidve riesenia su funkcne a asi aj maju malu sancu na prelomenie, ale pri tom druhom je to akosi principialne lepsie.. To je vsetko co som chcel povedat.
Abych to tedy sesumiroval: security by obscurity je proste pro tebe silny argument. Ok.
PS jinak jen pro info: existuji distra, ktera nemaji OpenVPN ve svych repozitarich, takze se musi spolehat na peclivost maintaineru repozitaru tretich stran a sledovat bezpecnost kazde takove doinstalovane veci zvlast. To uz je mnohem padnejsi argument nez superduper HyperVPN, kde sice lze nakonfigurovat osm klicu a sedesat certifikatu, ale joudove to stejne nastavuji podle prvniho navodu, ketry na ne vyskoci z netu a nevadi jim, ze je z minuleho tisicleti.
-
Abych to tedy sesumiroval: security by obscurity je proste pro tebe silny argument. Ok.
Aby som to zosumarizoval aj pre pomalsich. Pri VPNke bude ten kto sa o nieco pokusa odpaleny hned pri prvom pakete pretoze nebude sediet HMAC paketu. Cize tvojim spojenim sa server nebude ani zaoberat cim setris vypoctovy vykon a ciastocne sa branis pred DoSom. Ako si nakonfis VPNku a ci budes pozadovat 48 klucov a hesiel , alebo len 1 heslo a 1 kluc je na tebe.
Oproti tomu ked si otvoris tcp port tak tvoj otvoreny port zistim velmi rychlo a mozem sa zacat o nieco pokusat. Alebo ta zafloodujem a nepripojis sa (hlavne pokial nemas synproxy a ine ficury).
-
Aby som to zosumarizoval aj pre pomalsich. Pri VPNke bude ten kto sa o nieco pokusa odpaleny hned pri prvom pakete pretoze nebude sediet HMAC paketu. Cize tvojim spojenim sa server nebude ani zaoberat cim setris vypoctovy vykon a ciastocne sa branis pred DoSom. Ako si nakonfis VPNku a ci budes pozadovat 48 klucov a hesiel , alebo len 1 heslo a 1 kluc je na tebe.
Oproti tomu ked si otvoris tcp port tak tvoj otvoreny port zistim velmi rychlo a mozem sa zacat o nieco pokusat. Alebo ta zafloodujem a nepripojis sa (hlavne pokial nemas synproxy a ine ficury).
Z jake jsi galaxie, tvore? Jak presne mi to tvoje "odpalkovani" zabrani posilat jeden paket za druhym? Co presne mi setri "vypoctovy vykon", kdyz pro kazdy paket se pocita nejaka kryptografie?
A ze si neco zjistis rychleji a neco pomaleji je prave security through obscurity.
A vubec. Mas samozrejme pravdu, o zarici. UDP flood je samozrejme nemozny.
-
Pre tvoje dobro dufam, ze nerobis na vyssej pozicii ako na 1st level support.
-
tak to skor my dufame, ze ty nerobis vobec nikde (v it)...
-
Jasne dalsi supportak prisiel. ;) Hlavne fail2ban, otvorene sshcka do netu a neustale zvatlanie security through obscurity su dokaz vysokej profesionality a odbornych znalosti.
-
Ja myslim, ze nejbezpecnejsi pocitac je pocitac bez klavesnice, monitoru, mysi a napajeni. A nejlepe odpojeny od interntu...
Tomu zadny utok nehrozi...
Bezpecnost je vzdy urcity kompromis mezi financemi, moznostmi a ucelnosti s ohledem na chranena data
-
Neviem prečo ten hejt na fail2ban. Je to najlepší bezpečnostný nástroj na svete? Určite nie. Je to lepšie než nič? Určite áno.
Kým človek naštuduje ako správne zriadiť VPN, tak fail2ban bude mať už 10-krát nastavený a spustený.
Navyše by som chcel pripomenúť, že fail2ban nie je len nástroj na ochranu SSH. Tých démonov a aplikácií, ktoré má vo východzej konfigurácii prichystaných, sú desiatky.
-
fail2ban nepoznam ani nepouzivam, ale co som pochopil z tejto diskusie, mal by to byt nejaky blocker utokov na server. tak som sa na to pozrel a hned prva veta na ich home page znie:
https://www.fail2ban.org/wiki/index.php/Main_Page
Since spammers were way too much active on this wiki, user account creation has been disabled. Please, ask on the mailing-lists if you require a new user account. Thank you for your understanding and sorry about that.
to nevymyslis:) - dalsia (bosa) kovacova kobyla
-
Mne staci 2 veci - funguje a je soucasti aktualni verze meho distra https://packages.debian.org/stretch/fail2ban
-
fail2ban sa da napriklad pouzit aj na blokovanie klientov v lan (kde bezi samba), ktory maju ransomware a sifruju data na zdielanom disku...
-
to je pekne ale radsej by si sa mal zamysliet nad tym ako je mozne ze sa ti dostal ransowmare do siete a az potom nasadozvat hracky pre deti
-
to je pekne ale radsej by si sa mal zamysliet nad tym ako je mozne ze sa ti dostal ransowmare do siete a az potom nasadozvat hracky pre deti
no tak toto nepotrebuje ziadny komentar...
-
fail2ban sa da napriklad pouzit aj na blokovanie klientov v lan (kde bezi samba), ktory maju ransomware a sifruju data na zdielanom disku...
Pokiaľ sa ransomware nedokáže prihlásiť na zdielané úložisko, tak nič nezašifruje, ale ako poznám ľudí, každý si (hlavne na windows) primontuje zdielaný adresár s uložením prihlasovacích hesiel, takže fail2ban je spokojný. Na domácej lokálnej sieti sa nič od M$ nevyskytuje, ale keby to mám, určite si budem robiť pravidelné snapshoty a quotes na fs nastavím tak, že krátko po začatí kryptovania nebude mať kam zapisovať.
-
tak ono to tak nejako z podstaty zdielaneho disk vyplyva, ze to ludia maju mountnute a maju tam ulozene dokumenty, s ktorymi pracuju.
ako upravis quoty na fs, aby si zabranil (dalsiemu) sifrovaniu dat ransomwarom...?
-
tak ono to tak nejako z podstaty zdielaneho disk vyplyva, ze to ludia maju mountnute a maju tam ulozene dokumenty, s ktorymi pracuju.
ako upravis quoty na fs, aby si zabranil (dalsiemu) sifrovaniu dat ransomwarom...?
Snapshoty nezaberajú žiaden priestor navyše, pokiaľ sa súbory nemenia. Ak sa však začnú masívne šifrovať, každý zašifrovaný súbor zaberie ďalšie miesto na disku.Zoberme takýto príklad: na dátovom úložisku mám 10TB dát a denne pribudne cca 10GB nových dát, maximálne 50GB. Budem mať teda nastavenú quotu +100GB nad obsadeným priestorom. Quotu musím samozrejme pravidelne kontrolovať (napríklad cron + skripty + maily)
Teraz nastupuje ransomware. Po zašifrovaní 1% všetkých dát dojde priestor na HDD a ransomware skončil, pretože na disku už nie je miesto (quota).Samozrejme dáta sa zo snapshotov dajú obnoviť ale to zaberie spústu času. Obnova pá súborov zo snapshotov bude rýchla.
-
to ako myslis vazne toto...?
-
Som v šoku.
Nie z toho fail2banu ale z tej amatérčiny čo sa tu prevalila.
Tvrdiť, že ak službu "dobre nakonfigurujete" nepotrebujete žiaden fail2ban je len čistý amaterizmus prameniaci z nepoznaného a dotyční sa zrejme nikdy nestretol s ničím väčším ako obyčajným robotom čo scanoval jeho porty a potom skúsil krátky brute-force.
Chcete svoju infraštruktúru chrániť cez VPN, je to len vaša vec rovnako tak ako aj keď sa rozhodnete použiť fail2ban.
Ja sám som za fail2ban vďačný.
-
Kratky bruteforce.. Bruteforce riesim iptablami a ratelimitom..
Napriklad haslimit je na to vhodny..
Hashlimit is an iptables module that allows one to define rules that in effect will limit traffic speed (bytes / time unit) or frequency (connections / time unit) per target or origin ports / IPs. DoSy riesim tiez iptablami a optimalizaciou
kernelovych parametrov.
To mam poriesenu sietovu vrstvu a zakladny bruteforce kde si urcim kolko paralelnych spojeni alebo kolko novych spojeni v definivanom casovom okne je klientovi dovolene spravit.. To je ochrana na "paketovej" urovni..
Nad tym este chranim samotnu sluzbu moznostami ktore su dostupne nativne v danej sluzbe (napriklad web pomcou mod_security). Takze ano stojim si za tym, ze pokial vies co robis nic ine ako iptables a spravne nakonfigurovana sluzba nie je potrebne..
Fail2ban pre domace pouzitie OK, do produkcneho prostredia je to trochu tragikomicke..