Údiv nad tím, jak moc je internet hackovaný

[Bobs]

Domácí router Cisco řady 800, připojení přes VDSL2 od O2.
Dnes mě napadlo začít logovat zakázané pokusy o kontakt zvenku. Navěsil jsem logy na zákazy v access-listu, který je v in směru na interface Dialer1. Syslogy si posílám na syslog server (syslog-ng) ve Fedoře.
Pro vás to nejspíš nebude žádnou novinkou, ale já velmi udiven tím, kolik neustálých pokusů o kontakt zvenku se děje - zejména se jedná o telenet, http, různé icmp pakety, samba, ssh,.... hrubým odhadem tak 2x za minutu někdo/něco provede pokus o kontakt. Ani ve snu jsem netušil, že je ten provoz až takhle hustý. 
Zdrojové IP jsou různé, z celého světa. Jen celkem vyjímečně přijdou dva různé pokusy o kontakt ze stejné IP.
Interpretuji věc správně, když v tom vidím pokus o hacking? :O
V této souvislosti se nabízí otázka - jak jsou vlastně v reálu zabezpečené takové ty domází multifunkční routery za pár stovek? :O

[Reklama]

[Kit]

Domácí multifunkční routery v defaultním nastavení prostě tento vnější provoz v tichosti ignorují.

[JardaP .]

Si zkuste na Internet vystrcit ssh server na defaultnim portu. Pri trose stesti zachytite i veci, jako 10000 pokusu o spojeni za hodinu z jedne ip adresy. Samozrejme nejaky bot.

[Unknown]

Ani ve snu jsem netušil, že je ten provoz až takhle hustý. 
Zdrojové IP jsou různé, z celého světa. Jen celkem vyjímečně přijdou dva různé pokusy o kontakt ze stejné IP.
Interpretuji věc správně, když v tom vidím pokus o hacking? :O

Ani ne tak hacking jako spis Script kiddies...

[Bobs]

Si zkuste na Internet vystrcit ssh server na defaultnim portu. Pri trose stesti zachytite i veci, jako 10000 pokusu o spojeni za hodinu z jedne ip adresy. Samozrejme nejaky bot.

Jojo, mě napadlo něco podobného. Možná by mohlo být vcelku zajímavé ten provoz zvenku nezahazovat, ale raději jej odklonit na nějaký fake server, který by se mohl tvářit třeba jako nějaký děravý router kamsi.... no a sledovat provoz - co se bude dít. Věřím, že by z toho mohla být celkem výživná lekce z IT bezpečnosti. :p

[Reklama]

[a@a]

Si zkuste na Internet vystrcit ssh server na defaultnim portu. Pri trose stesti zachytite i veci, jako 10000 pokusu o spojeni za hodinu z jedne ip adresy. Samozrejme nejaky bot.

Jojo, mě napadlo něco podobného. Možná by mohlo být vcelku zajímavé ten provoz zvenku nezahazovat, ale raději jej odklonit na nějaký fake server, který by se mohl tvářit třeba jako nějaký děravý router kamsi.... no a sledovat provoz - co se bude dít. Věřím, že by z toho mohla být celkem výživná lekce z IT bezpečnosti. :p

https://cs.wikipedia.org/wiki/Honeypot

[typecek]

to su vsetko skripty..a reaguju celkom rychlo, staci aby vysla nejaka nova zranitelnost a uz to skusaju s uplnymi novinkami

[Kit]

Možná by mohlo být vcelku zajímavé ten provoz zvenku nezahazovat, ale raději jej odklonit na nějaký fake server, který by se mohl tvářit třeba jako nějaký děravý router kamsi.... no a sledovat provoz - co se bude dít. Věřím, že by z toho mohla být celkem výživná lekce z IT bezpečnosti. :p

Takový honeypot je občas docela zábavný. Záleží na tobe, do jaké hloubky ho propracuješ, jestli jen pro čtení nebo i fingovaný zápis či skutečný zápis do nějakého trezoru.

Většina těch pokusů bude za účelem získání dalšího zombie do nějakého botnetu.

[Bobs]

Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb. Teda, já mám ale pitomý nápady. :p
Jinak, ten honeypot je vážně moc pěkná záležitost. Taková bezpečnostní laboratoř do které hrozby "na pitevní stůl" přicházejí samy.

[Kit]

Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb. Teda, já mám ale pitomý nápady. :p

Ty routery to obvykle umí, zapisují do logu obsah IP hlavičky i to, jak s takovým paketem naložily. Stačí jen zapnout logování a případně ho přesměrovat na externí logovací server, protože vnitřní paměť je omezená.

[P_V]

Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, ...

https://www.turris.cz/cs/

[a@a]

Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, která by zdrojové IP (příp. dokonce zabalený celý paket) se žádostma o zakázaný kontakt, posílala někam na předem určené místo, kde by se tohle info sbíhalo od uživatelů k analýze a vyhodnocování možných hrozeb. Teda, já mám ale pitomý nápady. :p
Jinak, ten honeypot je vážně moc pěkná záležitost. Taková bezpečnostní laboratoř do které hrozby "na pitevní stůl" přicházejí samy.

Tady je ukázka z honeypotu na Turrisu, další lze najít na Youtube.
https://www.turris.cz/doc/navody/ssh-honeypot

další zajímavé odkazy:
https://honeymap.cz/
https://blog.nic.cz/2015/07/13/kdo-nam-stoura-do-turrisiho-ssh-honeypotu/
https://blog.nic.cz/2014/12/10/utoky-na-webovy-honeypot/
https://blog.nic.cz/2015/09/16/nenechavy-router-botnet/
https://www.youtube.com/results?search_query=kippo

[Bobs]

Ty routery to obvykle umí, zapisují do logu obsah IP hlavičky i to, jak s takovým paketem naložily. Stačí jen zapnout logování a případně ho přesměrovat na externí logovací server, protože vnitřní paměť je omezená.

Tohle vím. V prvním příspěvku, kterým jsem otevřel tuhle diskuzi, jsem přece zmínil, že to loguji a posílám si to na syslog server - syslog-ng na PC se Fedorou.
Já měl ale na mysli něco jiného. Myslel jsem z hlediska uživatele transparentní mechanismus. Např. router by měl defaultně nastavené, že syslog zprávy musí zasílat routeru ISP a ISP by od uživatelů tyhle mesidže sbíral a sám by byl zapojený do sítě spolu s dalšími ISP, příp. dalšími subjekty, které by všechny tyhle údaje automaticky zasílané uživateli, vyhodnocovali. To, že si sám nastavím log a odesílání na svůj domácí počítač a následně se kochám tím, jak seznam narůstá, to je sicě pěkné, ale nic moc to neřeší.

[Bobs]

Teď mě napadlo, že by třeba mohlo být užitečné do routerů vbudovat funkci, ...

https://www.turris.cz/cs/

Jéjej, teď si připadám jako Jára Cimrman ve svém vynalézacím období. :DD

[Bobs]

to a@a: Koukám, že ten Turris je opravdu hodně zajímavá "hračka" zjevně se na něm vyřádili dost chytří lidi.
Hmmm, tak něco takového jsem mlhavě měl na mysli.
Koukám, že to vychází z OpenWRT.