Bezpečný přístup na veřejnou IP přes SSH

[k3dAR]

to není druhá možnost, to je prostě špatně.

S ohledem na frekvenci mrkacích smajlíků ve tvých postech je ještě možný, že tvé bezpečnostní metody byly myšleny jako sarkasmus. Ale nejsem si 100% jistý

je to druha moznost, a lepsi s pouzitim 20mistneho Velke/male/cisla/znaky passphrase, nez mit ruzne klice s bez passphrase nebo s "Filip" ;-) jak sem psal, prolomeni takove dukladne passphrase vyzaduje miliony superpocitacu s sanci v radu let, nebo tvuj domaci pocitac za ~trilion let ;-) mnozstvi smajliku chapes spatne, jen nejsem takovej suchar jako nekteri mistni mistri teoretici ;-)

[Reklama]

[alex6bbc]

Klepani na firewallowou branu (port knocking) je security by obscurity, ale pouzitelne to je. Po spravne sekvenci zatukani na ruzne porty firewall otevre port pro ssh.

[darebacik]

Ahoj, předtím než mě odkážete na VPN, prosím o přečtení celého dotazu..
Jedná se o server ve firmě, který spravuji. Není vystaven na netu a ven žádné služby neposyktuje. Nicméně provider nám nabídl za symbolický poplatek veřejnou IP a líbí se mi myšlenka v případě potřeby se jednoduše připojit.
V celé jejich síti jde o jediný Linux server + Win stanice, jinam se tedy připojovat nepotřebuji. GUI samozřejmě není instalováno, zajímá mě pouze SSH na občasné servisní úkony a správu. Router mikrotik.

Moje představa je vystavit libovolný port s SSH serverem, přihlašování pouze klíčem.
Připojovat se budu jednak ze svého desktopu, nebo v nouzi na cesták i z tabletu, tzn. filtrování na IP nejde použít.

Jaká jsou rizika útoku? Nedostupnost SSH (ddos) není problém, vyřeší se to autem jako postaru. Naopak možné napadení (krádež/poškození firemních dat) by znamenalo hodně velký průšvih!

Pokud neuvažuju nějaké Zero-Day chyby v openssh a pravidelně aktualizovaný server, jaké má tohle řešení možné slabiny?

Preco sa hned v prvej vete branis vpn (napr. openvpn) pre znaleho je to nastavovanie na par minut.

[Filip Jirsák]

je to druha moznost, a lepsi s pouzitim 20mistneho Velke/male/cisla/znaky passphrase, nez mit ruzne klice s bez passphrase nebo s "Filip" ;-)

Takže to není druhá možnost, ale třetí možnost – druhá možnost je ten váš vynález s žádným nebo slabým heslem. Jenže vy jste se tvářil, že to porovnáváte s tou první možností, tedy klíč chráněný silným heslem. Takže se znovu ptám – v čem je lepší vaše varianta „jeden klíč se silným heslem všude“ oproti variantě „unikátní klíč se silným heslem pro každého klienta“?

Taky by mne zajímalo, kolik těch dvacetiznakových hesel si pamatujete. Pokud si to heslo nepamatujete a používáte správce hesel, je to zase další prostor pro útok, který jste zapomněl zmínit.

jak sem psal, prolomeni takove dukladne passphrase vyzaduje miliony superpocitacu s sanci v radu let, nebo tvuj domaci pocitac za ~trilion let ;-)

To ovšem vycházíte z předpokladu, že se nenajde žádná chyba ani v algoritmu ani v programu a že nedojde k žádné neočekávané změně v používané technice. Což klidně za půl roku platit nemusí. Je zbytečné zvyšovat zabezpečení z milionu let na bilion, protože je velmi nepravděpodobné, že by zrovna tahle změna zastavila nějaký útok. Mnohem účinnější je přidat jinou vrstvu zabezpečení, která funguje na úplně jiném principu a nebude dotčena průlomem v té první vrstvě.

Z tohoto důvodu třeba může dávat smysl port-knocking, protože i kdyby někdo zjistil, jak rozlousknout heslo ke klíči za vteřinu na kapesní kalkulačce, port-knocking by byla druhá vrstva, která by tímhle zůstala nedotčená a server by ochránila. (Což neznamená, že bych port-knocking osobně doporučoval – riziko, že pomocí port-knockingu vyrobím nějakou jinou bezpečnostní díru nebo že nebude fungovat považuji za mnohem větší, než že někdo bude umět louskat hesla ke klíčům lusknutím prstu.)

Druhou takovou vrstvou k tomu louskání hesel od klíčů je mít kontrolu nad tím, kde se ten zaheslovaný klíč nachází. Když totiž útočník nemá ani ten zaheslovaný klíč, nepomůže mu, že by ho uměl rozlousknout během pár vteřin. A když už mám kontrolu nad tím, kde všude ten klíč je, je jednoduché mít na každém klientovi jiný klíč.

[Filip Jirsák]

Preco sa hned v prvej vete branis vpn (napr. openvpn) pre znaleho je to nastavovanie na par minut.

Já jsem to pochopil tak, že se aigor.net nebrání VPN, ale že se ptá, zda to jde i bez VPN udělat přiměřeně bezpečné. Nakonfigurovat VPN na serveru je jednoduché, ale nemusí to být stejně jednoduché na všech klientech a v některých sítích může být problém protlačit VPN provoz – u SSH je přeci jen o něco pravděpodobnější, že projde, zvlášť když to chce mít na portu 443.

Neznám VPN klienty pro Android – je tam možnost do VPN tunelu směrovat jen určitý rozsah IP adres nebo jednu IP adresu?

[Reklama]

[Vilith]

Je nekolik reseni, ktera jsou o penezich a pracnosti (ve strucnosti)

1/ dedikovany VPN server v DMZ acces zone, odkud ma user pristup na konketni stroje v Inside (nebo do celeho Inside?)

2/ VPN server v obecne DMZ zone, odkud ma user pristup na konketni stroje v Inside (nebo do celeho Inside?)

3/ VPN server na hranicnim firewallu, odkud ma user pristup na konketni stroje v Inside (nebo do celeho Inside?)

4/ "otevrit" konkretni stroje v Inside, na ktere se hlasi uzivatele

Kterou cestou se tazatel rozhodne jit, je jen jeho volba. Vybrat si musi sam na zaklade jim provedene analyze rizik

[aigor.net]

Proc se branim VPN ?
- SSH je nastaveni take na par minut a nevim o zadne bezpecnostni slabine proti VPN
- vzdy se potrebuju pripojit 1:1 z cehokoliv (PC, tablet, mobil) na jeden jediny server a jen do konzole, na to mi VPN prijde proste zbytecne
- pro provoz VPN je vhodne mit oddeleny stroj na CA
- ze vsech variant mi pripada jako rozumna volba jen OpenVPN, mikrotik ho nezvlada a na iOS jsem taky nic nenasel
- uz mnohokrat jsem se potkal s nastavenim (hotely, verejne hotspoty,..) kde projde jen 80 a 443

..tedy se zeptam co by mi pres uvedene prineslo VPN za vyhody navic...

[Vilith]

Nikdo nerika, ze otevrit SSH do internetu je spatne, ale...

Odpoved Vam da provedena analyza rizik a porovnani nakladu jednotlivych reseni

BTW - CA pro OpenVPN nepotrebuje oddeleny stroj, muze bezet v podstate kdekoli

[sudoguy]

Myslím, že už se bavíte hodně v teoretické rovině. Podle mě SSH, kde se dá přihlásit jen s klíčem, není v reálu problém. Jasně, může tam být chyba, ale to by jste pak nesměli otevřít do netu nic... Takhle SSH už x let provozuju doma, y let to takhle provozujou v práci a nikdy se nestalo, že by byl někomu zneužit privátní klíč (i když v teoreticky tady ta možnost je). Řádově větší pravděpodobnost je, že vás vykrade insider nebo že ten server někdo fyzicky odnese. A pokud jste hodně paranoidní, tak použijte více vrstev ochrany, jak už se tady někdo zmiňoval.

[Vilith]

ssh s klicem na aktualizovanem systemu je minimum
Vzdy zalezi na konkretni situaci

[honzahommer]

Většinou mám SSH na dvou portech - standardní 22 a např. 10022...

• Přístup na port 22 povolen ze známých IP, autorizace i pomocí hesla;
• přístup na port 10022 povolen z IP v ČR (ipset), autorizace pouze pomocí klíče.

Doporučuji použít s Fail2Ban. Zkoušel jsem i varianty s dvou fázovým ověřením, ale to už mi přijde zbytečné :-)

[Filip Jirsák]

autorizace i pomocí hesla

K čemu je to dobré? Kdy nastane případ, že znáte heslo, jste ochoten jej použít a nemůžete použít klíč?

Doporučuji použít s Fail2Ban.

Já to nedoporučuji. Nevidím v tom žádný přínos, naopak je riziko, že tím zablokujete sám sebe. Osobně mi připadá zvrácený už samotný fakt, že se parsují nestrukturované logy a na základě toho se provádějí bezpečnostně citlivé operace navíc pod rootem. To ještě nikdo nezkusil udělat Fail2Ban injection?

[Vilith]

Fail2Ban neni vsespasitelny, ale pridava urcitou uroven ochrany proti brute-force utokum

Lepsi neco, nez nic

A ze zablokuju sam sebe? Tak jsem proste blb

[Filip Jirsák]

Fail2Ban neni vsespasitelny, ale pridava urcitou uroven ochrany proti brute-force utokum

V čem ta další úroveň ochrany spočívá? Nebo-li jaký je vektor útoku, před kterým ta ochrana chrání?

Lepsi neco, nez nic

To je nesmysl. Něco neúčinného je horší než nic, protože v tom může být chyba, která v důsledku vytvoří díru do systému. A i když tam ta díra není, akorát se plýtvá energií na něco neúčinného, místo aby se dělala skutečná bezpečnostní opatření, a vyvolává to dojem, že se přece pro bezpečnost udělalo už dost. S heslem „lepší něco než nic“ můžete server chránit tak, že pod něj zakopete kořen mandragory, ale to doufám neděláte.

[Medo77]

Ako kde, ako kto. VPN, alebo RDP viazane na IP. Teamviewer, .. :-) Zriedkavo Port knocking, pristup z dynamickych dynamickych IP cez SSH kluc.