1 Temat przez life

  • life
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-01-18
  • Posty: 39

Temat: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Potrzebuję mieć dostęp do SSH z zewnątrz (WAN) jednak jak wiadomo co jakiś czas różnego rodzaju boty skanują sieć i próbują ataków brute-force.

Na debianie zabezpieczam się przez fail2ban i mam spokój. Tu czegoś takiego nie widzę i jest problem bo nagle jak jakiś "cymbał" zacznie szukać podatności to zwiększa mi obciążenie na routerze.

Próbowałęm dać coś takiego w iptables.

iptables -I INPUT -m hashlimit -m tcp -p tcp --dport 22 --hashlimit 1/min --hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW -j ACCEPT

Ale niestety to nie działa. Zna ktoś jakiś sposób na blokowanie IP np. po 3 próbach wpisania hasła?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,923

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

W gargoyle masz standardowo. Możesz obejrzeć sobie źródła i zobaczysz jak to jest zrobione.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez life

  • life
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-01-18
  • Posty: 39

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

No już sobie poradziłem, dałem permamentne blokowanie ip (iptables -A INPUT -s xxx.yyy.zzz.vvv -j DROP) a ruch cały czas przechodził. Okazło się że w konfigu firewalla (/etc/config/fireawll) dla zone wan input miałem ACCEPT wiec to jako pierwsza regóła wszystko puszczała.

po zmianach i dodaniu kilku reguł do iptables działa jak tego oczekuję wink

dzięki i pozdrawiam

4 Odpowiedź przez migos

  • migos
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-11-19
  • Posty: 196

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Chciałbym cały ruch na port 22 z zewnątrz przekierować na inny port
Nie mam Gui więc wszystko z palca i próbuję posłużyć się przykładami, które są zawarte w pliku firewalla, ale poległem
Najbardziej odpowiednie wydaje mi się to:

config redirect
    option src    wan
    option src_dport    44444
    option dest_port    22
    option proto    tcp

Proszę o podpowiedź gdzie robię błąd?

5 Odpowiedź przez zdzichu6969 (edytowany przez zdzichu6969 2012-11-01 01:10:14)

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Łap:

config 'remote_accept' 'ra_22_44444'
    option 'local_port' '22'
    option 'remote_port' '44444'
    option 'proto' 'tcp'
    option 'zone' 'wan'
RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,923

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Pod warunkiem że jest to gagroyle.

A najprościej - w /etc/config/dropbear zmień sobie port 22 na coś innego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez migos

  • migos
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-11-19
  • Posty: 196

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Dokładnie kolega @zdzichu niedoczytał, że brak Gui

SSH było tu dobrym przykładem, żeby naświetlić o co chodzi, bo że można port zmienić to wiem,
ale mnie chodzi właśnie o przekierowanie ruchu z portu "A" do portu "B"

8 Odpowiedź przez zdzichu6969

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

A to nie ma gargoyle bez gui ?

RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,923

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Sprecyzuj pytanie smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez migos

  • migos
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-11-19
  • Posty: 196

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Chodzi właśnie o przekierowanie ruchu z portu "A" wan do portu "B" w routerze (nie do lanu)

Jest to czyste Backfire bez interfejsu graficznego, nie wspominałem nawet, że to Gargoyle

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,923

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

Pytanie było do @zdzichu6969, jako że gargoyle to gui, więc gargoyle bez gui w sensie ideologicznym nie istnieje smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez kiniu

  • kiniu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-02
  • Posty: 131

Odp: Zabezpieczenie SSH (dropbear) przed atakami brute-force.

life napisał/a:

No już sobie poradziłem, dałem permamentne blokowanie ip (iptables -A INPUT -s xxx.yyy.zzz.vvv -j DROP) a ruch cały czas przechodził. Okazło się że w konfigu firewalla (/etc/config/fireawll) dla zone wan input miałem ACCEPT wiec to jako pierwsza regóła wszystko puszczała.

po zmianach i dodaniu kilku reguł do iptables działa jak tego oczekuję wink

dzięki i pozdrawiam

Możesz dać dokładny zrzut konfiguracji. Interesuje mnie coś takiego i mógłbym sobie przeanalizować i dostosować do siebie.