Firewall s whitelistem při často měnící se ip adrese

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #30 kdy: 16. 10. 2024, 12:42:27 »
Jen jestli to správně chápu,
tak v momentě kdy se z jakéhokoliv důvodu neaktualizují záznamy klienta u nějaké bezvadné free DNS služby, třeba kvůli její odstávce, přetížení atp. (počítám, že free varianta je bez jakéhokoliv závazku dostupnosti) nebo když nebude dočasně dostupná DNSka pro překlad na tom serveru, tak se klient po změně IP nepřipojí.
Taky je super, že ta DNS služba má na free tieru minimální hodinové TTL, takže když by tam někde u serveru byl třeba kešovací resolver (což občas dává docela smysl), tak vám může taky hodinu vracet starou IP (to se dá ale využít k tomu, že se může jít klient třeba projít, než vyprší všechny timeouty DNSce a cronu).
Nakonec to, že se v tom setu budou štosovat staré IP adresy, které může zrecyklovat kdokoliv (s tím CGNATem) a dáte jim přístup k těm službám, než je ručně vymažete a obnovíte celý set, už je jen taková třešnička na dortu.

Jako jo, je to docela vymakané, to nemohu říct.  8)
Taková VPN brána je oproti tomuhle systému problematická, protože - co kdyby se s ní něco stalo.

Opakuji, že VPN mám, tohle je záložní řešení, když by vpn spadla spolu se serverem. VPN běží jako obyčejný virtuál takže se ho výpadek může týkat stejně jako jakékoli jiné služby. Stačí když bude fungovat tohle nebo VPN, nebo nějaká další ip adresa která se nemění. Pokud jeden fyzický stroj spadne, potřebuji pak nahodit virtuály co tam běžely na jiném stroji a tam se potřebuji co nejrychleji a nejednodušeji dostat.  Dynamickým whitelistem vpn možnost neruším ani neruším možnost udělat to z ip adres, které se nemění.
Že by teoreticky mohlo hádat heslo několik set náhodných BFU lidí z ČR mne nijak netrápí. Jsou tam stejně klíče, přihlášení heslem zakázané. Firewall je tam hlavně proto, aby do něj nebušili útočníci co náhodně skenují internet a zkouší otravovat.


Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #31 kdy: 16. 10. 2024, 12:45:04 »
Proc myslis, ze selhani stroje s wireguardem je pravdepodobnejsi nez selhani stroje s SSH?

SSH mají všechny stroje, jak fyzické tak virtuální. Pravděpodobnost selhání virtuálu s wireguardem je stejná jako jakéholi jiného. Ale pro ten případ potřebuji wireguard či jiné virtuály spustit na jiném fyzickém stroji. A proto se tam musím umět nějak dostat i jinak než přes ten wireguard.

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #32 kdy: 16. 10. 2024, 12:59:16 »
Pokud bych nedokazal zajistit stabilitu prostredi pro beh virtualek, sel bych teda radeji do varianty dve ruzne VPNky na dvou ruznych derivatech unixu, ale ok, kazdy sveho stesti strojvudcem :)

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #33 kdy: 16. 10. 2024, 15:09:39 »
Pokud bych nedokazal zajistit stabilitu prostredi pro beh virtualek, sel bych teda radeji do varianty dve ruzne VPNky na dvou ruznych derivatech unixu, ale ok, kazdy sveho stesti strojvudcem :)
Ale přece spoléhat se na to, že to nikdy nespadne, nelze nikdy. Bez ohledu na to jaký máte hardware i software.
A přestože má serverovna záložní baterie i agregát, je nutné počítat s tím, že tak možná jednou za deset let nepůjde elektřina. A jednou za 10 let nepůjde internet.  Nebo při DOS budou dostupné jen některé ip adresy a stroje.
A až proud opět půjde, může se stát, že správně nenaskočí více jak jeden stroj. Ve stejnou dobu. To všechno se už již stalo a je třeba mít co nejlepší možnosti se tam dostat a minimalizovat škodu.
Takže předpoklad, že bude určitě stačit jeden záložní VPN mi také moc nesedí. Krom toho by bylo třeba připojování přes VPN střídat, aby se nefunkčnost projevila dříve než hlavní VPN bude nedostupné. No a já prostě jako druhou možnost volím něco jiného než VPN, což je prostě větší diverzifikace a může někdy hodit.

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #34 kdy: 16. 10. 2024, 16:40:06 »
Ale přece spoléhat se na to, že to nikdy nespadne, nelze nikdy. Bez ohledu na to jaký máte hardware i software.
Obecna univerzalni pravda bez vztahu k nasemu pripadu.

Ale rozbetlujme to trochu:

A přestože má serverovna záložní baterie i agregát, je nutné počítat s tím, že tak možná jednou za deset let nepůjde elektřina.
Jak ti pak pomuze filtr pro ip adresy na SSH?

A jednou za 10 let nepůjde internet.
Jak ti pak pomuze filtr pro ip adresy na SSH?

Nebo při DOS budou dostupné jen některé ip adresy a stroje.
Proc si myslis, ze zrovna SSH v techto pripadech bude na tom s dostupnosti lepe? (zvlaste, kdyz za nekterymi povolenymi adresami muze byt skryto i hodne ruznych lidi a i organizaci)

A až proud opět půjde, může se stát, že správně nenaskočí více jak jeden stroj. Ve stejnou dobu.
Jak ti pak pomuze filtr pro ip adresy na SSH?

To všechno se už již stalo a je třeba mít co nejlepší možnosti se tam dostat a minimalizovat škodu.
Takže předpoklad, že bude určitě stačit jeden záložní VPN mi také moc nesedí.
To jen proto, ze sis to jeste poradne nepromyslel :)

Krom toho by bylo třeba připojování přes VPN střídat, aby se nefunkčnost projevila dříve než hlavní VPN bude nedostupné.
Kdezto u SSH ne?

No a já prostě jako druhou možnost volím něco jiného než VPN, což je prostě větší diverzifikace a může někdy hodit.
Nekdy se muze hodit prohledavat po ceste vsechny popelnice, presto bych se do takove situace nechtel dostat :)

A ted ja:

VPN ti negeneruje praci s obskurni spravou ip adres.

Fungovani VPN neovlivnuje nedostupnost nejake zdarma sluzby kdesi v tramtarii.


Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #35 kdy: 16. 10. 2024, 17:51:20 »
Ale přece spoléhat se na to, že to nikdy nespadne, nelze nikdy. Bez ohledu na to jaký máte hardware i software.
Obecna univerzalni pravda bez vztahu k nasemu pripadu.

Ale rozbetlujme to trochu:

A přestože má serverovna záložní baterie i agregát, je nutné počítat s tím, že tak možná jednou za deset let nepůjde elektřina.
Jak ti pak pomuze filtr pro ip adresy na SSH?

A jednou za 10 let nepůjde internet.
Jak ti pak pomuze filtr pro ip adresy na SSH?

Nebo při DOS budou dostupné jen některé ip adresy a stroje.
Proc si myslis, ze zrovna SSH v techto pripadech bude na tom s dostupnosti lepe? (zvlaste, kdyz za nekterymi povolenymi adresami muze byt skryto i hodne ruznych lidi a i organizaci)

A až proud opět půjde, může se stát, že správně nenaskočí více jak jeden stroj. Ve stejnou dobu.
Jak ti pak pomuze filtr pro ip adresy na SSH?

To všechno se už již stalo a je třeba mít co nejlepší možnosti se tam dostat a minimalizovat škodu.
Takže předpoklad, že bude určitě stačit jeden záložní VPN mi také moc nesedí.
To jen proto, ze sis to jeste poradne nepromyslel :)

Krom toho by bylo třeba připojování přes VPN střídat, aby se nefunkčnost projevila dříve než hlavní VPN bude nedostupné.
Kdezto u SSH ne?

No a já prostě jako druhou možnost volím něco jiného než VPN, což je prostě větší diverzifikace a může někdy hodit.
Nekdy se muze hodit prohledavat po ceste vsechny popelnice, presto bych se do takove situace nechtel dostat :)

A ted ja:

VPN ti negeneruje praci s obskurni spravou ip adres.

Fungovani VPN neovlivnuje nedostupnost nejake zdarma sluzby kdesi v tramtarii.

Když vypnou elektřinu, je slušná šance, že některý stroj nenabootuje.  Pokud by to byly dva a oba  s VPN, nedostanu se tam.
U SSH jsi na tom podstatně lépe, protože nejsem limitovaný funkčností dvou konkrétních fyzických a virtuálních strojů.

Nerozumím té posedlostí VPN. Udržovat a aktualizovat další VPN  virtuální stroj s vlastní ip adesou a routovací tabulkou a podobně je rozhodně více práce, než přidat vždy stejných několik řádek  do /etc/nftable.conf a jeden do cronu.
Na všech strojích to stejné, bez další obsluhy a údržby. Bez dalších aktualizací.  Není to pěkné řešení z toho důvodu, že nftables je obskurdní a špatně dokumentovaný, ale výsledek není až tak špatný.
Nemusí, to tedy tak úzkostlivě hlídat jako fungování dalšího jediného záložního VPN, protože těch strojů bude více a stačí mi, když se připojím k jednomu fungujícímu.

Je pravda, že kdyby byl druhý VPN v jiné lokalitě, bylo by to lepší. Ale na stejném místě je lepší se tomu vyhnout.

Krom toho si mohu velmi snadno v nastavení wireguardu udělat tak, aby u ip adressy, kam chci mít možnést se připojovat napřímo se routování přes wireguard nepužilo. Tohle mi bude spolehlivě hlídat funkčnost. Oproti tomu používat dva různé wireguardy současně nebo je náhodně střídat, mi tak pěkné nepřijde.


http://freedns.afraid.org/ funguje už 23 let a má i placené služby, kde má více jak dvojnásobek platících zákazníků, než které požadovali, aby mohli služby zdarma zachovat. Myslím že je spousta rizikovějších placených služeb.


Jo a v případě dostupnosti jen části veřejných ip address nebo DOS útoku na část strojů je VPN také o dost horší možnost.
Že nejde v serverovně internet jak by měl, není úplně vzácný případ. Už jsem to zažil vícekrát.

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #36 kdy: 16. 10. 2024, 20:23:27 »
Ja to vzdavam. Povazovat VPNku za neco, ceho se musim bat a chtit pro ni zvlastni virtualku, to je trochu moc.

rmrf

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #37 kdy: 16. 10. 2024, 20:54:48 »
Zaplatit dvě VPS, každou u jiného posktovatele. Z obou VPS zřídit VPN do firmy. Ve firmě zakázat přístupy na služby z jiných ip adres, než jsou ty dvě VPS. Klienti/zaměstnanci budou mít VPN na obě dvě VPS, použijí jednu z nich. Jinak se do práce nepřipojí. Když spadne jedna VPS, druhá poběží. Administrátor si pořídí nějaký další přístup. Nazdar bazar.

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #38 kdy: 16. 10. 2024, 21:34:51 »
V korporátech jsou asi moderní ty VPN, protože to jinak jejich myšlení zjevně nedovoluje a hůře by se hlídalo, že v tom firewallu nezůstanou díry.  Ale my nejsme korporát a tak si to můžeme dělat i jinak a bez dalšího speciálního hardware navíc.
Je to nasazené a vypadá to OK.
Že si nějaký korporatec myslí, že to není nejlepší, mne nijak netrápí. Možná se to bude hodit někomu dalšímu.

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #39 kdy: 16. 10. 2024, 21:51:40 »
A nejhorsi ze vseho jsou kotporatci... Vsude vlezou a desne rychle se mnozej.

Az (a pokud) ti jednou dojde, cos tady vykladal, budes se za sebe stydet :)

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #40 kdy: 16. 10. 2024, 23:57:02 »
Opakuji, že VPN mám, tohle je záložní řešení, když by vpn spadla spolu se serverem. VPN běží jako obyčejný virtuál takže se ho výpadek může týkat stejně jako jakékoli jiné služby. Stačí když bude fungovat tohle nebo VPN, nebo nějaká další ip adresa která se nemění. Pokud jeden fyzický stroj spadne, potřebuji pak nahodit virtuály co tam běžely na jiném stroji a tam se potřebuji co nejrychleji a nejednodušeji dostat.  Dynamickým whitelistem vpn možnost neruším ani neruším možnost udělat to z ip adres, které se nemění.
Že by teoreticky mohlo hádat heslo několik set náhodných BFU lidí z ČR mne nijak netrápí. Jsou tam stejně klíče, přihlášení heslem zakázané. Firewall je tam hlavně proto, aby do něj nebušili útočníci co náhodně skenují internet a zkouší otravovat.

Nejdřív píšete, že to je i pro kolegy a ti mají zakázáno se z domova připojovat přes WG a používají to jen z venku, z toho mi to vycházelo spíš jako primární řešení.
Teď to zas vypadá, že jste si vymyslel tuhle konstrukci s dynamickou DNSkou, abyste si pro sebe (počítám jako primární admin) ušetřil za pevnou adresu bez CGNATu, která se prostě z mnoha důvodů beztak hodí, a tohle má být tedy záloha pro váš SSH přístup.
K tomu nahazujete za mě dost nesmyslné scénáře, kterými si chcete obhájit systém konfigurace s mnoha veřejně přístupnými servery s lokálními firewally a hromadou generovaných pravidel místo standardní klientské VPN brány (případně druhé záložní s jednoduše replikovanou, ale identickou konfigurací). Což opravdu nechápu, nebo resp. chápu, protože jsem podobné věci dělal v 90. letech (pod rootem běžící lokální generátory incoming pravidel pro IPFW ve freebsd, které jsem psal v perlu, opičárny na dial up a tak.), ale dnes mi opravdu přijde, že se tohle poměřně přežilo.

S redund. bránami bych měl jediné body, kde můžu filtrovat, sledovat provoz, logovat přístupy, upravovat konfiguraci, přidávat a odebírat uživatele, revokovat atp. Když se bude něco opravdu nehezkého dít, můžu to prostě bloknout najednou, bez toho abych lezl po dvaceti lokálních fw.
Funguje to pak odevšud stejně, ať už se někdo připojuje z domova, nebo třeba z mobilu v Albánii. Je to také i mnohem lepší pokud by tam pak mimo SSH byly i služby, které nejsou samy o sobě tak zabezpečené. Ten VPN tunel je totiž bez dalšího přičinění uživatele typicky jen virt. interface na jeho počítači, oproti whitelistování jeho veřejné adresy, kdy zpřístupníte služby nejen jeho počítači, ale celé jeho LAN za NATem.
Jakmile tam jsou ještě po normální uživatele nějaké jiné přímé přístupy mimo VPNku (co kdyby náhodou), tak tohle celé trochu padá.

I kdybych pak chtěl nějakou další, svou administrační zálohu, nezávislou na těch zmíněných bránách (resp. třeba hypervizorech, nebo co tam máte), tak jsem přesvědčený, že tam bude dalších x možností jak to řešit čistěji a líp i s  dynamickou veřejnou adresou odkud bych se případně připojoval, a zároveň i tak aby mi to fungovalo odevšud, ne jen z domova.

Ale beru, už jste se rozhodl, jste s tím takhle evidentně spokojený. Já jsem své napsal, svým způsobem i proto, že kdyby někdo ten dyndns whitelist chtěl replikovat, aby si to případně mohl zasadil i do nějakého jiného kontextu.

Jose D

  • *****
  • 895
    • Zobrazit profil
Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #41 kdy: 17. 10. 2024, 08:57:09 »
> Potřebuji to hlavně jako zadní vrátka, když by chcípl i server s wireguardem, abych se mohl někam přihlásit.

no, tohle se řeší tak, že máš nějaký malý routřík s vytočeným wireguardem někam na bastion host / jumpserver , kde máš přístup a je třeba i na normálním internetu. Nejsem dealer mikrotiku, ale od routerosv7 tam wireguard je, a funguje (pro podobné i serióznější účely) dobře.

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #42 kdy: 17. 10. 2024, 10:06:52 »
Žádný další mikrotik nechci. Za každou další krabici bych musel platit a prostě nechci další krám. Já nepoužívám mikrotik ale openwrt a mikrotik se nehodlám učit. Openwrt samozřejmě umí wireguard také, pravděpodobně dříve než mikrotik, ale nehci další krám, který by navíc mohl být potenciálně děravý. Vlastní router před servery nepotřebuji, byla by to další věc, co se může polámat a pak by nešlo nic.

Všechny ty "vzácné nepravděpodobné scénáře" co popisuji, se již několikrát za posledních 20 let staly.

Kolegům se ip adresy zatím nesmyslně nemění, neb jejich poskytovatele zatím nekoupilo O2. Možná se časem i to O2 ustálí, jen teď mají možná období, že do toho v noci rýpou. Jsou to fušeři. Musel jsem napsat skript, který ráno zkontroluje, jestli jde internet a pokud ne tak restartuje modem.
Pokud by se poskytovatelé zaměstnanců také zbláznili, budu muset také pro každého přidat další jeden řádek do cronu a  routování jejich wireguardu změnit. Ostatně i nyní wireguard mají, jen přes něj routují jen neveřejné ip adersy. Na veřejné jdou na přímo, aby testovali "záložní způsob".

Re:Firewall s whitelistem při často měnící se ip adrese
« Odpověď #43 kdy: 17. 10. 2024, 10:15:53 »
BTW, jak se nftables chová při aktualizaci tabulky pravidel?
V jednom projektu mám úkol, kdy bych potřeboval průběžně měnit seznam asi 500-900 whitelistovaných IP adres.
Cca co vteřinu.
V principu mám jak kompletní seznam IP, tak i to, co se má přidat a odebrat.
Ale jak se k tomu postavit?
Jde o to, aby se to necukalo/nepřerušoval se tok dat navázaných spojení, aby aktualizace pravidel co vteřinu nedělala paseku.
Jak na to jít správně? Že bych si to zkusil.  ::)
Díky!  ;)

Předpokládám, že se sice seznam může měnit co vteřinu, ale ve skutečnost změna v jedné vteřině budou obvykle jen desítky adres. Ne výměna všech adres z blacklistu. Tedy mělo by jít přidávat a odebírat po jedný ze setu.