SSH na OpenWrt přístupy botů

Re:SSH na OpenWrt přístupy botů
« Odpověď #15 kdy: 24. 09. 2022, 22:48:03 »
Co s tím mají obrázky a školy?
Že byste si třeba nejprve přečetl komentář, na který reagujete?

No pokud bude v Asii, tak ho ten fail2ban může sejmout, ad mé zkušenosti s přístupem odtud  na jistý webmail. Ale tady ?
Zaznamenal jste, že má dezo2 SSH na nestandardním portu? Takže možná nejde o útoky na náhodně vygenerovnané adresy, jak si myslíte?

Pošlu sem , až budu v práci, statistiku bušení a vy prosím odpovězte na mou otázku : máte to tvrzení podložené praxí ? Neostýchejte se to uvést.
Podíval jsem se namátkou do logu sshd, první adresa je Singapur, druhá Německo. Pokud vím, Německo je v Evropě. Navíc je to stejný poskytovatel, kde mám VPS, ze kterého bych třeba nechtěl mít přístup na jiná má zařízení zablokovaný. (A když se tady budeme o fail2ban ještě chvíli bavit, určitě přijde někdo, kdo nám přijde vysvětlit, jaké je to super, jak tím blokuje rovnou celé sítě hned při jakémkoli neplatném pokusu o připojení.)
Jo, komentář jsem četl, ale nedává mi smysl.
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ? Na zjištění protokolu není nutné znát port. Že byste věřil v security through obscurity. ?
Namátkou dvě adresy z logu ? To má být argument podložený praxí ? :-)
A ano, blokuji celé sítě, ne fail2ban, ale pomocí geo-policy. A řeknu vám , je to požitek, pár kliky zablokovat rusáky.
« Poslední změna: 24. 09. 2022, 22:50:59 od FKoudelka »


Re:SSH na OpenWrt přístupy botů
« Odpověď #16 kdy: 24. 09. 2022, 23:03:51 »
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ?
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

Namátkou dvě adresy z logu ? To má být argument podložený praxí ? :-)
No vy jste tvrdil, že zablokovat přes fail2ban přístup sobě nemůže, protože ty útoky jdou jen z Asie nebo Latinské Ameriky. Takže na vyvrácení vašeho tvrzení stačí jediná IP adresa z Evropy.

CPU

  • *****
  • 613
    • Zobrazit profil
    • E-mail
Re:SSH na OpenWrt přístupy botů
« Odpověď #17 kdy: 24. 09. 2022, 23:44:22 »
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

https://www.youtube.com/watch?v=rFPRJTvcx_c

Re:SSH na OpenWrt přístupy botů
« Odpověď #18 kdy: 25. 09. 2022, 09:37:06 »
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ?
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

Namátkou dvě adresy z logu ? To má být argument podložený praxí ? :-)
No vy jste tvrdil, že zablokovat přes fail2ban přístup sobě nemůže, protože ty útoky jdou jen z Asie nebo Latinské Ameriky. Takže na vyvrácení vašeho tvrzení stačí jediná IP adresa z Evropy.
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika

Re:SSH na OpenWrt přístupy botů
« Odpověď #19 kdy: 25. 09. 2022, 11:22:16 »
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.


Re:SSH na OpenWrt přístupy botů
« Odpověď #20 kdy: 25. 09. 2022, 18:35:48 »

Re:SSH na OpenWrt přístupy botů
« Odpověď #21 kdy: 26. 09. 2022, 11:17:16 »
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ?
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.
To ani nemusí, stačí , když si najde na Shodanu ty nejčastéji používané kromě 22 a zkusí třeba Top 10. V drtivé většině je to stejně 2222.
A psal jsem nestandardní, ne náhodné, to není totéž.

Re:SSH na OpenWrt přístupy botů
« Odpověď #22 kdy: 26. 09. 2022, 11:27:17 »
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.
Ony ty mé dvě věty spolu nesouvisí. Myslím tím tu o nestandardních portech
 a tu několikrát kladenou otázku, zda svá tvrzení máte podložená praxí?
 A neříkal jsem, že útoky z Evropy nejdou. Ale je jich minimum , když pominu Turecko, Balkán apod. K tomu dalšímu, bez ironie, připadá mi, že stavíte pyramidu na špičku.
« Poslední změna: 26. 09. 2022, 11:34:18 od FKoudelka »

Re:SSH na OpenWrt přístupy botů
« Odpověď #23 kdy: 26. 09. 2022, 12:17:17 »
To ani nemusí, stačí , když si najde na Shodanu ty nejčastéji používané kromě 22 a zkusí třeba Top 10. V drtivé většině je to stejně 2222.
A psal jsem nestandardní, ne náhodné, to není totéž.
To by musel napsat dezo2, jestli přesunul SSH na náhodně zvolený port, nebo použil nějaký běžně používaný. Za mne – když už někdo přesouvá SSH na jiný port kvůli hádání hesel – nedává smysl přesunout to na nějaký jiný port běžně používaný pro SSH. Podle mne by něco jako „nestandardní port běžně používaný pro SSH“ vůbec nemělo existovat…

Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.
Ony ty mé dvě věty spolu nesouvisí. Myslím tím tu o nestandardních portech
 a tu několikrát kladenou otázku, zda svá tvrzení máte podložená praxí?
 A neříkal jsem, že útoky z Evropy nejdou. Ale je jich minimum , když pominu Turecko, Balkán apod. K tomu dalšímu, bez ironie, připadá mi, že stavíte pyramidu na špičku.
Proč odpovídáte na něco úplně jiného, než co citujete? Napsal jste tohle:

Citace
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
To vypadalo jako argument, že nemůže dojít k uzamčení z kavárny, ulice nebo vysoké školy, protože to oťukávání serveru přichází jenom z Asie nebo Latinské Ameriky.

Je totiž úplně jedno, kolik útoků jde z jiných sítí. Podstatné je jenom to, jaká je pravděpodobnost, že k tomu oťukávání dojde ze sítě, odkud se bude chtít dezo2 přihlásit.

dezo2 psal, že chce mít přístup z různých strojů – asi ani jeden z nás neví, jestli chce mít přístup i z Turecka, Balkánu nebo Asie. A jak jsem psal, ty útoky můžou jít i ze sítě evropských poskytovatelů VPS (OVH, Contabo a další), kde může mít VPS, ze které chce mít k tomu routeru přístup. To my nepřipadá jako něco nepravděpodobného.

Zkrátka fail2ban má značné náklady (procházení logů i spousty firewallových pravidel je zejména na slabém zařízení nezanedbatelná režie), nezanedbatelná rizika (největší riziko je, že si to zamknete sám; menší riziko je, že vám to zamkne někdo jiný záměrně – fail2ban je pozvánka k DoSu; ještě menší riziko je, že vám to zamkne někdo jiný náhodně – ale pořád to není riziko, které bych považoval za zanedbatelné). Asi jsem měl uvést i ta pravděpodobnější rizika – nicméně obávám se, že tam si kde kdo řekne „to se mi nemůže stát, že třikrát zadám špatně heslo“. To náhodné zamknutí jsem uváděl proto, že jsem chtěl uvést něco, co nemůžete nijak ovlivnit.

Když to shrnu dohromady – značné náklady, nezanedbatelná rizika, přínos je sporný. Pro to bych fail2ban neřešil a pokud bych chtěl router chránit před tím nákladným navazováním SSH spojení, použil bych raději jiná řešení, třeba zmíněný port knocking. Přičemž ani port knocking ani fail2ban nepovažuju za ochranu přístupu přes SSH – to musí být chráněné klíčem nebo přinejhorším alespoň dostatečně silným unikátním heslem, to považuju za naprostou samozřejmost.

Re:SSH na OpenWrt přístupy botů
« Odpověď #24 kdy: 26. 09. 2022, 18:33:46 »

Citace
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika

Je totiž úplně jedno, kolik útoků jde z jiných sítí. Podstatné je jenom to, jaká je pravděpodobnost, že k tomu oťukávání dojde ze sítě, odkud se bude chtít dezo2 přihlásit.

……..

Když to shrnu dohromady – značné náklady, nezanedbatelná rizika, přínos je sporný. Pro to bych fail2ban neřešil a pokud bych chtěl router chránit před tím nákladným navazováním SSH spojení, použil bych raději jiná řešení, třeba zmíněný port knocking. Přičemž ani port knocking ani fail2ban nepovažuju za ochranu přístupu přes SSH – to musí být chráněné klíčem nebo přinejhorším alespoň dostatečně silným unikátním heslem, to považuju za naprostou samozřejmost.
S tím shrnutím naprosto souhlasím.
Ale ta pravděpodobnost , že se dezo2 střelí do kolena je limitně nula. Úměrná tomu , jak často dělá z Turecka nebo Asie a jak často z ČR. Za posledních 7 dní jsem z logů na FW z těch velkých statisíců záznamů útoku nenašel z Česka ani jeden.
Ale možná by se mohl už taky zapojit do debaty stran lokací a portů.

Re:SSH na OpenWrt přístupy botů
« Odpověď #25 kdy: 26. 09. 2022, 19:59:05 »
S tím shrnutím naprosto souhlasím.
Ale ta pravděpodobnost , že se dezo2 střelí do kolena je limitně nula. Úměrná tomu , jak často dělá z Turecka nebo Asie a jak často z ČR. Za posledních 7 dní jsem z logů na FW z těch velkých statisíců záznamů útoku nenašel z Česka ani jeden.
Ale možná by se mohl už taky zapojit do debaty stran lokací a portů.
Pokud je v ČR nezáleží na tom, kolik je útoků z Turecka nebo Asie, ale jenom na tom, kolik jich je z ČR. (Samozřejmě zase předpokládáme, že útoky z ČR jsou rovnoměrně rozložené přes různé sítě.) Ale hlavně – ta pravděpodobnost, že se dezo2 střelí do kolena, je limitně nula v ideálním případě. Ostatně vy sám jste zmiňoval své problémy s webmailem. Pak totiž někdo přijde s tím, že do fail2ban napojí další služby z toho samého zařízení. nebo ho napojí na nějakou externí databázi – svých dalších zařízení, nebo na něco, co se snaží sledovat spamující zdroje apod. Nebo bude blokovat na základě geolokace. Nebo udělá cokoli dalšího, co chování fail2ban změní –  a s čím my nepočítáme a on to bude považovat za změnu, která nemůže nic zkazit. Proto takovéhle věci nedoporučuju někomu, kdo nezná potřebné souvislosti. A když už s tím někdo přijde, snažím se alespoň poukázat na to největší nebezpečí – tedy na to, že čím větší kladivo použijete ve fail2ban na útočníky, tím větší pravděpodobnost, že to kladivo zasáhne i vás.

Já mám všude vypnuté přihlašování heslem a hlásím se výhradně klíči. Pak mě vůbec nějaké pokusy o hádání nezajímají.
Je to někde vysvětleno, jaký je prostor možností (hádání) klíče  ?A nebo je to podle stejné analogie  u hesla(hodně zjednodušeně 27^8) u klíče 2^2048  Tudíž tak astronomické, že to je v říši scifi?

Dál by mě zajímalo, jak je to s ochranou klíče heslem. V podstatě jestli se dá z zaheslovaného keyfile 1) zjistit, že zadané heslo je správné (bez připojení k serveru) čili jestli takový keyfile poskytuje nějakou indikaci o správnosti hesla nebo ne (takže výsledek odemčení zahesl.keyfile správným heslem dá stejný výsledek jako špatným heslem) a 2) se dá vytáhnout z zahesl.keyfile klíč bez nutnosti k serveru
 V těhle dvou příkladech:
1.klasicky vygenerovaný klíč přes ssh-keygen.
2. Klíč v android aplikaci ConnectBot. V menu-správa klíču je možnost si klíč (importovaný nebo přes něj generovanýú) zabezpečit heslem, smazat zabezpečení heslem   a taky možnost si (zaheslovaný) klíč odemknout,  Jenže už v procesu odemykání se dá zjistit, že jsem zadal špatné heslo, vyhodí to hlášku a klíč zustane zamčený.
2a) liší se způsob připojování k serveru přes connectbot když si klíč odemknu předem a nebo zadávám heslo teprv momentě kdy se připojuji k serveru? Když si ho neodemknu a zadávám heslo v momentě připojení, v konzoli promptu dostanu hlášku Pokus o autetnt.zvolen klíčem \n Bad password forkey.. . Authent.failed, Spojení ztraceno
2b: liší se způsob zbezpečení hesla přes keygen a connect bot, ? (nevím jak ssh, . ale u toho connectbotu to vypadá, že tam jsou oba scénáře)


A do třetice, může "evil" sshd server poznat, jakým klíčem se přihlašuji (ne přímo soukromý klíč, ale nějaká vedlejší informace  jako nějaký název či komentář)


Pri nadviazani spojenia server okrem ineho uz vie verejny kluc klienta, tak nim zasifruje spravu a posle ju klientovi, klient spravu desifruje pomocou privatneho kluca a overi podpis proti vetejnemu klucu serveru. Privatny kluc, ani heslo k nemu, nikdy neopusti klienta(za dodrzania bezpecnostnyh zasad).

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Je to někde vysvětleno, jaký je prostor možností (hádání) klíče  ?A nebo je to podle stejné analogie  u hesla(hodně zjednodušeně 27^8) u klíče 2^2048  Tudíž tak astronomické, že to je v říši scifi?
Tak zaprvé klíč je vynásobení dvou prvočísel, takže jedno prvočíslo + veřejný klíč už plně definuje klíč. Tím se nám zmenšil prostor na 2^1024. (tak jak píšeš to zhruba funguje u ECC, ne u RSA)

Za druhé prvočísel do délky 1024 je méně než 2^1024 (ne všechna čísla jsou prvočísla), je tam nějaký logaritmus a určitě to jde nějak spočítat https://en.wikipedia.org/wiki/Euler%27s_totient_function

Za třetí RSA se necrackuje zkoušením všech možností, ale složitými algoritmy na hledání prvočíselného rozkladu. Aktuálně favorit je https://en.wikipedia.org/wiki/GNFS, vzoreček na složitost je tam napsaný.

Aktuální postup si můžeš najít třeba ve zmíněném https://en.wikipedia.org/wiki/RSA_factoring_challenge, koukám že od doby co jsem se naposledy koukal padlo RSA-829.

Dál by mě zajímalo, jak je to s ochranou klíče heslem.
Obávám se že openssh formát keyfile umožňuje offline kontrolu správnosti hesla. Je to zajímavý nápad, že by to šlo implementovat bez této možnosti, ale asi se očekává, že veřejný klíč je opravdu veřejný, a pak to jde ověřovat offline z principu.

2b: liší se způsob zbezpečení hesla přes keygen a connect bot, ? (nevím jak ssh, . ale u toho connectbotu to vypadá, že tam jsou oba scénáře)
Nevím jak je to implementované ale obecně se v historii řešilo jestli se z hesla odvozuje klíč obyčejnou MD5 (špatné) nebo nějakým „náročným“ algoritmem (PBKDF - PBKDF2, scrypt, bcrypt…). Ten klíč je doufám standardní PEM takže to půjde zjistit přes openssl.

A do třetice, může "evil" sshd server poznat, jakým klíčem se přihlašuji (ne přímo soukromý klíč, ale nějaká vedlejší informace  jako nějaký název či komentář)
Ano, dokonce stále běží služba, co vycrawlila klíče z githubu a teď ti to vpálí do obličeje: https://words.filippo.io/ssh-whoami-filippo-io/