Fail2ban na serveri, iptables na routri

Fail2ban na serveri, iptables na routri
« kdy: 11. 12. 2018, 16:27:06 »
Ahojte, na serveri mám funkčný fail2ban, rovnako aj iptables ktorými blokujem útoky, sú na serveri. Na routri (Openwrt) mám tiež funkčné iptables. Dá sa upraviť iptables-*.conf v priečinku /etc/fail2ban/action.d/ tak aby nespúšťali príkazy lokálne, ale cez
Kód: [Vybrat]
ssh root@router ...Samozrejme router by to zvládol, bežne mám zablokovaných 5 - 20 IP, z ktorých idú pernamentné útoky, hlavne na postfix a ssh. Rovnako mi je jasné, že na routri budem musieť pridať kľúč do .ssh/authorized_keys, aby som sa naň cez ssh vedel pripájať.
Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne. Aký by to malo pre mňa zmysel? Nemuseli by mi bežať 2x iptables, všetky útoky by som odrazil hneď na routri a toto riešenie sa mi javí akoby priamejšie.


Re:Fail2ban na serveri, iptables na routri
« Odpověď #1 kdy: 11. 12. 2018, 16:34:17 »
postfix a ssh

Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot ;) To sa riesi VPNkou. A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl.. Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..
« Poslední změna: 11. 12. 2018, 16:39:02 od snuff1987 »

Re:Fail2ban na serveri, iptables na routri
« Odpověď #2 kdy: 11. 12. 2018, 18:01:00 »
Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot ;) To sa riesi VPNkou.
Otázka neznela či používať ssh na serveri. Inak beží na celkom inom porte, pokusov je minimálne množstvo ale sú. Samozrejme VPN mám, ale nie vždy mám po ruke zariadenie ktorým sa viem cez VPN pripojiť - nie je na heslo.
A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl..
Nepýtal som sa ako nakonfigurovať postfix.
Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..
Nezaujíma ma názor na používanie fail2ban, mne funguje dobre a som spokojný s tým čo robí.
Pýtal som sa:

Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne. Aký by to malo pre mňa zmysel? Nemuseli by mi bežať 2x iptables, všetky útoky by som odrazil hneď na routri a toto riešenie sa mi javí akoby priamejšie.


Re:Fail2ban na serveri, iptables na routri
« Odpověď #3 kdy: 11. 12. 2018, 18:06:36 »
Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne.

Ano a ja som odpovedal, ze fungujuce riesenie je nakonfigurovat to spravne s VPNkou a riadne nakonfenym postfixom + iptablami. Cokolvek ine je vizitka hodna tak 1st level support junior admina.

Ale ked sa bavime o tom dotiahnut tuto prasacinu k dokonalosti tak ano , obycajny skript, ktory sa sshckne na router a zada tam command iptables -I INPUT -i  eth0 -s 1.2.3.4 -j DROP a zaroven napriklad pomocou "atd"  vyhodi toto pravidlo o nejaky cas z iptablov tak to bude funkcne.
« Poslední změna: 11. 12. 2018, 18:13:15 od snuff1987 »

peter

Re:Fail2ban na serveri, iptables na routri
« Odpověď #4 kdy: 11. 12. 2018, 18:26:36 »
fail2ban ... tajne som dufal ze s tymto "zazrakom" sa v roku 2018 uz nestretnem ale vidim ze ludia su nepoucitelni...


naseptavac

Re:Fail2ban na serveri, iptables na routri
« Odpověď #5 kdy: 11. 12. 2018, 18:53:33 »
Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot ;) To sa riesi VPNkou. A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl.. Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..

Proc je SSH pro blazny, zatimco VPN ne?

mysql

Re:Fail2ban na serveri, iptables na routri
« Odpověď #6 kdy: 11. 12. 2018, 19:03:34 »
Proc je SSH pro blazny, zatimco VPN ne?

toto by zaujimalo aj mna, v com je problem. ja mam tiez ssh povolene von a overenie usera vyhradne cez certifikat (ako dlhodobo doporucuje p. krcmar)

ako si pomozem s VPN?


Re:Fail2ban na serveri, iptables na routri
« Odpověď #7 kdy: 11. 12. 2018, 19:42:37 »
Pretoze na ssh, http prebieha najviac automatizovanych utokov.

Dalej detekovat otvoreny tcp port je jednoduche. Detekovat otvoreny UDP port je mozne, ale nie kazdy vie ako..

Dalej napriklad openVPN Ta posle do zadeke hned ako nebude sediet prvy paket (tls-auth) a nebude sa tvojim spojenim ani zaoberat este predtym ako vobec pride ku kontrole certifikatu a hesla..

Cim usetris vypoctovy vykon servera, a znizis sancu ze sa tam niekto dostane..

Teda vpnkou znizis sancu na DoS,auspesne lognutie alebo to ze vobec niekto pride na to, ze Ti tam nieco bezi o 99.9 percent.. Nevidim ani jeden rozumny dovod na to zbytocne cokolvek otvarat do netu.

A ked ano a ma to byt spravene nejak takto (k comu mam ja vazne vyhrady) tak miesto fail2banu by som zvolil asi radsej port knocking a tu kombinaciu portov pravidelne menil.

Takcitak ten postfix bude treba poriesit nejak rozumne.
« Poslední změna: 11. 12. 2018, 19:47:38 od snuff1987 »

Re:Fail2ban na serveri, iptables na routri
« Odpověď #8 kdy: 11. 12. 2018, 19:55:09 »
Proc je SSH pro blazny, zatimco VPN ne?

toto by zaujimalo aj mna, v com je problem. ja mam tiez ssh povolene von a overenie usera vyhradne cez certifikat (ako dlhodobo doporucuje p. krcmar)

ako si pomozem s VPN?
Dôležitejšie ako spôsob pripojenia je pre mňa bezpečnosť uloženia certifikátov. Pripojenie z nezabezpečeného mobilu s nakonfigurovanou VPN (videl som to na vlastné oči) je ešte väčšia hlúposť ako pripojenie cez SSH z notebooku s heslom nbu123 (to som nevidel, ale heslo bolo svojho času populárne).

mysql

Re:Fail2ban na serveri, iptables na routri
« Odpověď #9 kdy: 11. 12. 2018, 21:21:00 »
Pretoze na ssh, http prebieha najviac automatizovanych utokov.

to nie je argument.  rovnako mozem povedat, ze najviac ludi zomiera v posteli. je preto lepsie spavat v kresle alebo na zemi? :)

Cim usetris vypoctovy vykon servera...

vykon nie je problem, tych par volani ma nezabije. bezia tam daleko vypoctovo narocnejsie ulohy

Nevidim ani jeden rozumny dovod na to zbytocne cokolvek otvarat do netu.

asi tomu nerozumiem, ale ved aj tan VPN musi mat otvoreny port aby sa tam klient pripojil. nie?

takze sa bavime o tom, ci je bezpecnejsi SSH server vs VPN server. je to tak? security bug moze by v oboch. stale mi nejak nedochadza ako presne ma niekto hackne cez to SSH ale VPN ma spolahlivo ochrani. kedze na SSH sa autentikujem certifikatom (a za predpokladu, ze mi private key neunikne - to uz je moja blbost) je mi uplne sumak, ze tam niekto bude skusat rozne usernames... naozaj mi nejde o flame, ale asi som stale prehliadol argument, ktory by ma prinutil zamysliet sa a poskriabat sa za uchom s tym ze "aha, tak to je VPN ozaj lepsia ako SSH cert".

Re:Fail2ban na serveri, iptables na routri
« Odpověď #10 kdy: 11. 12. 2018, 22:06:18 »
Cim usetris vypoctovy vykon servera, a znizis sancu ze sa tam niekto dostane..
S tým výpočtovým výkonom to nebude také horúce. Známy má na routeri falošný sshd server v minimálnom lxc kontaineri, kde beží iba ssh server, na ktorý sa nedá cez ssh prihlásiť - nie je tam žiaden user, iba root, má zakázaný login cez password a prázdny súbor .ssh/authorized_keys. Denne má stovky útokov na tom porte a router podľa neho "chrápe". Je presvedčený že keď robot nájde otvorený ssh port, buší do neho "jak hluchý do vrat" a ďalšie porty nechá na pokoji. Na začiatku to bol iba malý test, ale osvedčil sa mu, tak ho nechal bežať.
Len som chcel zdôrazniť že keď takúto záťaž zvládne malý Arm, Mips alebo čo to tam vlastne má za procesor, poriadny server takúto záťaž ani nebude vedieť zaznamenať.

mysql

Re:Fail2ban na serveri, iptables na routri
« Odpověď #11 kdy: 11. 12. 2018, 22:26:27 »
Je presvedčený že keď robot nájde otvorený ssh port, buší do neho "jak hluchý do vrat" a ďalšie porty nechá na pokoji. Na začiatku to bol iba malý test, ale osvedčil sa mu, tak ho nechal bežať.

ja mam podobnu skusenost a to, ze ak je ssh port 22 premapovany na nejake netypicke cislo, napr. vyssie ako 3000 tak "busenie do vrat" klesne minimalne o 95%.

Re:Fail2ban na serveri, iptables na routri
« Odpověď #12 kdy: 12. 12. 2018, 05:56:26 »
....

Dobre tak si to zhrnieme..
otvoreny port ssh = detekujem obycajnym telnetom a ked mam tvoj certifikat (okej sanca ho ziskat je mala) tak som u teba pripojeny (pripadne este aj heslo).

Vpn = udp otvorene detekujem len ak viem o linuxe a sietach trochu viac ako pouzivat telnet a k tomu aby som sa do tej VPN pripojil potrebujem presne 2kluce + 1 certifikat + mozem chciet aj heslo. Ked sa pripojim do Vpn tak potrebujem dalsi kluc/dalsie heslo na login cez ssh na ktore mi nebudu liezt script kiddies, pretoze cez vpnku sa nedostanu.

Obidve riesenia su funkcne a asi aj maju malu sancu na prelomenie, ale pri tom druhom je to akosi principialne lepsie.. To je vsetko co som chcel povedat.

Nech si kazdy vyberie co uz a za vhodne, ale potom sa tu hrame s hlupostami ako fail2ban, ktory pri spravne nakonfenej sluzbe (akejkolvek) nema na serveri opodstatnenie.

mysql

Re:Fail2ban na serveri, iptables na routri
« Odpověď #13 kdy: 12. 12. 2018, 08:45:03 »
s tymto kompletne suhlasim.

naseptavac

Re:Fail2ban na serveri, iptables na routri
« Odpověď #14 kdy: 12. 12. 2018, 12:03:26 »
Dobre tak si to zhrnieme..
otvoreny port ssh = detekujem obycajnym telnetom a ked mam tvoj certifikat (okej sanca ho ziskat je mala) tak som u teba pripojeny (pripadne este aj heslo).

Vpn = udp otvorene detekujem len ak viem o linuxe a sietach trochu viac ako pouzivat telnet a k tomu aby som sa do tej VPN pripojil potrebujem presne 2kluce + 1 certifikat + mozem chciet aj heslo. Ked sa pripojim do Vpn tak potrebujem dalsi kluc/dalsie heslo na login cez ssh na ktore mi nebudu liezt script kiddies, pretoze cez vpnku sa nedostanu.

Obidve riesenia su funkcne a asi aj maju malu sancu na prelomenie, ale pri tom druhom je to akosi principialne lepsie.. To je vsetko co som chcel povedat.

Abych to tedy sesumiroval: security by obscurity je proste pro tebe silny argument. Ok.

PS jinak jen pro info: existuji distra, ktera nemaji OpenVPN ve svych repozitarich, takze se musi spolehat na peclivost maintaineru repozitaru tretich stran a sledovat bezpecnost kazde takove doinstalovane veci zvlast. To uz je mnohem padnejsi argument nez superduper HyperVPN, kde sice lze nakonfigurovat osm klicu a sedesat certifikatu, ale joudove to stejne nastavuji podle prvniho navodu, ketry na ne vyskoci z netu a nevadi jim, ze je z minuleho tisicleti.