SSH na OpenWrt přístupy botů

dezo2

SSH na OpenWrt přístupy botů
« kdy: 23. 09. 2022, 15:26:48 »
Ahoj,
mam doma openwrt box a i kdyz nemam ssh na 22, tak boti si me uz nasli a v logu je videt spousty pokusu o login. Nastesti vetsina konci s nonexistent user, ale co kdyz se jednou trefi i s heslem? Co pouzivate na obranu? Nechci pouzit klice, chci mit pristup z ruznych stroju (kde treba klic mit nebudu).

Diky za napady
« Poslední změna: 23. 09. 2022, 15:41:09 od Petr Krčmář »


Re:SSH na OpenWrt přístupy botů
« Odpověď #1 kdy: 23. 09. 2022, 15:43:14 »
Já mám všude vypnuté přihlašování heslem a hlásím se výhradně klíči. Pak mě vůbec nějaké pokusy o hádání nezajímají.

Pokud nechcete používat klíče, pak zbývá jedině vytvořit dostatečně neuhádnutelné uživatelské jméno a unikátní heslo. Je potřeba mít to ideálně pro každé zařízení jinak, protože prolomení jednoho zařízení znamená prolomení ostatních. Pokud se nějakou dírou útočník dostane k souboru s hašy hesel, je pravděpodobné, že je prolomí a použije stejné heslo jinde. S klíči tohle nehrozí.

Re:SSH na OpenWrt přístupy botů
« Odpověď #2 kdy: 23. 09. 2022, 16:00:28 »
Fail2ban, ak najde definovany pocet neuspesnych prihlaseni, tak vykona definovanu akciu. Standartne na 24 hod vytvori drop pravidlo na utociacu ip adresu.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:SSH na OpenWrt přístupy botů
« Odpověď #3 kdy: 23. 09. 2022, 22:33:55 »
Pak mě vůbec nějaké pokusy o hádání nezajímají.
Zejména na pomalých strojích, kde se OpenWRT používá, to může brát značné množství výkonu (kryptografický handshake při navazování spojení atd.).

Ale je divné že se připojují i na nestandardní port -- je opravdu nestandardní a ne třeba 222? Ještě se dá použít port knocking…

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:SSH na OpenWrt přístupy botů
« Odpověď #4 kdy: 23. 09. 2022, 23:00:06 »
[...] Ještě se dá použít port knocking…
doporucuju fwknop (workaround pro OpenWRT 22.03)


Re:SSH na OpenWrt přístupy botů
« Odpověď #5 kdy: 24. 09. 2022, 08:32:59 »
Já mám všude vypnuté přihlášení heslem a klíče. Klíč mám uložený i na šifrovaném flashdisku, který nosím s sebou a který je chráněn PINem (klávesnice je přímo na něm, takže to nepotřebuje žádnou podporu OS).

Pokud trváte na tom, že musíte mít povolený přístup heslem, tak zrušit heslo u všech uživatelů, které pro přihlašování nepoužíváte, a pro uživatele, kterým se přihlašujete, nastavte dostatečně silné (malá a velká písmena, číslice, aspoň šestnáct znaků) náhodně vygenerovné heslo. Pak se nemusíte bát, že ho někdo uhodne.

Pokud potřebujete mít přístup odkudkoli, fail2ban vám akorát může způsobit problémy, když ta síť, odkud se budete potřebovat přihlásit, bude zrovna zablokovaná.

Re:SSH na OpenWrt přístupy botů
« Odpověď #6 kdy: 24. 09. 2022, 15:18:09 »
Pokud potřebujete mít přístup odkudkoli, fail2ban vám akorát může způsobit problémy, když ta síť, odkud se budete potřebovat přihlásit, bude zrovna zablokovaná.

Skor naopak, ak zisti ze utoky idu so siete s ktorej sa potrebuje regulerne prihlasit, tak to umozni vcas zamedzit omnoho vaznejsim utokom. A ak si to sposobi sam, pretoze si napamata vlastne heslo, tak ho to nakopne k tomu aby zacal pouzivat kluce.

Re:SSH na OpenWrt přístupy botů
« Odpověď #7 kdy: 24. 09. 2022, 15:34:21 »
Skor naopak, ak zisti ze utoky idu so siete s ktorej sa potrebuje regulerne prihlasit, tak to umozni vcas zamedzit omnoho vaznejsim utokom. A ak si to sposobi sam, pretoze si napamata vlastne heslo, tak ho to nakopne k tomu aby zacal pouzivat kluce.
Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:SSH na OpenWrt přístupy botů
« Odpověď #8 kdy: 24. 09. 2022, 18:39:37 »
Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.
By mě zajímalo jak často se tohle tak v praxi děje, a navíc když by se mi tohle stalo tak použiju ProxyJump přes nějaký jiný stroj, a že se zabanujou všechny, to se nestane. (pozn. fail2ban nepoužívám, resp. párkrát jsem to zkoušel na SMTP, ale pak mi přišlo že to není potřeba; pokud mi někde vadí pokusy o přihlášení na SSH (je tam pomalá linka nebo pomalý HW), tak používám nestandardní port a ještě s tím problém nebyl)

Re:SSH na OpenWrt přístupy botů
« Odpověď #9 kdy: 24. 09. 2022, 19:38:30 »
Skor naopak, ak zisti ze utoky idu so siete s ktorej sa potrebuje regulerne prihlasit, tak to umozni vcas zamedzit omnoho vaznejsim utokom. A ak si to sposobi sam, pretoze si napamata vlastne heslo, tak ho to nakopne k tomu aby zacal pouzivat kluce.
Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika. Prosím vás, kam na to chodíte ? Máte to podložené praxí ?
Nic ve zlém, ale už to diletantství nemůžu ignorovat.
« Poslední změna: 24. 09. 2022, 19:44:23 od FKoudelka »

Re:SSH na OpenWrt přístupy botů
« Odpověď #10 kdy: 24. 09. 2022, 19:56:02 »
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika. Prosím vás, kam na to chodíte ? Máte to podložené praxí ?
Nic ve zlém, ale už to diletantství nemůžu ignorovat.
Bušit? Bude mít fail2ban nastavený tak, aby musel někdo bušit, aby zareagoval? Také dost záleží na tom, na co přesně bude fail2ban reagovat. Pokud jen na navázání spojení, stačí třeba vložit obrázek s vhodnou adresou na webovou stránku, která je navštěvovaná třeba na té škole. Každopádně dezo2 se tvářil, že chce mít přístup kdykoli a kdekoli (jinak by používal klíč), což ten fail2ban ohrožuje. Pokud chce předejít těm opakovaným pokusům, je port knocking daleko lepší řešení.

Re:SSH na OpenWrt přístupy botů
« Odpověď #11 kdy: 24. 09. 2022, 20:25:23 »
Pokud chce předejít těm opakovaným pokusům, je port knocking daleko lepší řešení.

Nepovedal by som. Kedze ma ten problem i na nestandartnych portoch, tak je zrejme ze kratko pred bruteforce prebehol scan portov. Isteze, je mozne posielat specificky paket. Ale ten rucne nevytvori, to moze rovno nosit na tej flaske, na ktorej by mal tool pre port knocking, rovno privatny kluc(nepisem nikde ze by nemal, podla mna je prihlasenie pomocou kluca najlepsia volba)

Re:SSH na OpenWrt přístupy botů
« Odpověď #12 kdy: 24. 09. 2022, 20:46:31 »
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika. Prosím vás, kam na to chodíte ? Máte to podložené praxí ?
Nic ve zlém, ale už to diletantství nemůžu ignorovat.
Bušit? Bude mít fail2ban nastavený tak, aby musel někdo bušit, aby zareagoval? Také dost záleží na tom, na co přesně bude fail2ban reagovat. Pokud jen na navázání spojení, stačí třeba vložit obrázek s vhodnou adresou na webovou stránku, která je navštěvovaná třeba na té škole. Každopádně dezo2 se tvářil, že chce mít přístup kdykoli a kdekoli (jinak by používal klíč), což ten fail2ban ohrožuje. Pokud chce předejít těm opakovaným pokusům, je port knocking daleko lepší řešení.
Točíte se na slovíčku… Bušit = brute force snaha o přihlášení na ssh. Co s tím mají obrázky a školy?
No pokud bude v Asii, tak ho ten fail2ban může sejmout, ad mé zkušenosti s přístupem odtud  na jistý webmail. Ale tady ?
Pošlu sem , až budu v práci, statistiku bušení a vy prosím odpovězte na mou otázku : máte to tvrzení podložené praxí ? Neostýchejte se to uvést.
« Poslední změna: 24. 09. 2022, 20:49:45 od FKoudelka »

Re:SSH na OpenWrt přístupy botů
« Odpověď #13 kdy: 24. 09. 2022, 21:17:54 »
Přesně, ve firmě používáme dokonce kombinaci většiny výše uvedených řešení a je nám to jedno.

O čem vím, tak je konbinace následujících metod:

Sktrikní používání výhradně ssh klíče.
Zakázání root loginu
Změna defaultního portu
Fail2ban, který proti logům banuje například každého kdo za poslední týden 10 krát zkusil uhádnout heslo. F2b je jedno, jestli je to někdo v kavárně s výkoným rackem vedle stolu nebo ještli je to traffic z bangladéže, dá se implementovat na všechno i na ten webmail.
« Poslední změna: 24. 09. 2022, 21:20:40 od scientific »

Re:SSH na OpenWrt přístupy botů
« Odpověď #14 kdy: 24. 09. 2022, 22:18:37 »
Co s tím mají obrázky a školy?
Že byste si třeba nejprve přečetl komentář, na který reagujete?

No pokud bude v Asii, tak ho ten fail2ban může sejmout, ad mé zkušenosti s přístupem odtud  na jistý webmail. Ale tady ?
Zaznamenal jste, že má dezo2 SSH na nestandardním portu? Takže možná nejde o útoky na náhodně vygenerovnané adresy, jak si myslíte?

Pošlu sem , až budu v práci, statistiku bušení a vy prosím odpovězte na mou otázku : máte to tvrzení podložené praxí ? Neostýchejte se to uvést.
Podíval jsem se namátkou do logu sshd, první adresa je Singapur, druhá Německo. Pokud vím, Německo je v Evropě. Navíc je to stejný poskytovatel, kde mám VPS, ze kterého bych třeba nechtěl mít přístup na jiná má zařízení zablokovaný. (A když se tady budeme o fail2ban ještě chvíli bavit, určitě přijde někdo, kdo nám přijde vysvětlit, jaké je to super, jak tím blokuje rovnou celé sítě hned při jakémkoli neplatném pokusu o připojení.)