zabezpeceni ssh

imhotepcz

zdravim

potrebuji zabezpecit ssh proti utokum.

pokud udelam toto

;;; drop ssh brute forcers

chain=input action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist address-list-timeout=1w3d dst-port=22 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m dst-port=22 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m dst-port=22 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=22 log=no log-prefix=""

tak ochranim samotny mikrotik, to mi funguje ale pokud chci ochranit jeste ssh na serveru co je za nim tak to uz nic nedela

tam mam nat s presmerovanim na port 2222

;;; ssh

chain=dstnat action=dst-nat to-addresses=192.168.0.3 to-ports=22 protocol=tcp in-interface=O2_VDSL dst-port=2222 log=no log-prefix=""

;;; drop ssh_anubis brute forcers

chain=input action=drop protocol=tcp src-address-list=ssh_anubis_blacklist dst-port=2222

chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_anubis_stage3 address-list=ssh_anubis_blacklist address-list-timeout=1w3d dst-port=2222

chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_anubis_stage2 address-list=ssh_anubis_stage3 address-list-timeout=1m dst-port=2222

chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_anubis_stage1 address-list=ssh_anubis_stage2 address-list-timeout=1m dst-port=2222

chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=ssh_anubis_stage1 address-list-timeout=1m dst-port=2222 log=no log-prefix=""

okoun

co třeba chain=forward ?

ludvik

Prosím všechny (a leckdy i nezačátečníky), nastudujte si linuxový netfilter. Není to zase až tak složité a moc to pomůže. Stejně tak doporučuji Linux documentation project, především část o síťování. Dostane to do hlavy principy.

K věci:

Co přijde do chainu INPUT v tabulce filter nikdy neopustí tento stroj. Je to jen VSTUP.

Co jde zkrz, je vždy FORWARD.

Tuto ochranu je lepší vyčlenit do extra chainu (a nespecifikovat to na úroveň portů) a provádět tam jen odskok pro connection-state new z INPUTU a klidně i forwardu. Pak je to univerzální (odskočím si tam s libovolným portem) a lze tím ochránit cokoliv (dělám to i pro winbox, chain se pak nemění). Příklad jsem tu už dával, nejspíš ne jednou.

Také doporučuji používat whitelist. Aby pak člověk nebyl deset dnů na nervy ...

Ale jinak je to ochrana jen částečná. Počítá to připojení. Jenže v jedné konexi lze většinou zkusit těch přihlášení víc (a v MK tohle nejde změnit).

add action=drop chain=sshchain comment="SSH prevent brute force" src-address-list=sys_ssh_blacklist

add action=accept chain=sshchain comment="whitelist" src-address-list=sysSshWhitelist

add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3

add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2

add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1

add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new

add action=accept chain=sshchain

/ip firewall filter

add chain=input comment=navazane connection-state=established,related,untracked

#nejenom ochrana tim pocitanim konexi, ale zaroven globalnejsi povoleni addresslistem

add action=jump chain=input connection-state=new dst-port=22,8291 jump-target=sshchain protocol=tcp src-address-list=sysInputNets

#sem samozrejme prijdou ostatni povoleni INPUTu

#a konci se dropem vseho ostatniho

add action=drop chain=input

the_max

A není lepší použít na Linuxu fail2ban? Funguje to na kde co, ne jen na SSHčko. To co tu je pro Mikrotik, z toho fal2ban v podstatě vychází, akorát že mikrotik hází odchycený IPčka dynamicky do address listu a po restartu se smažou.

imhotepcz

co třeba chain=forward ?

vyzkouseno a nic to nedela.

imhotepcz

Prosím všechny (a leckdy i nezačátečníky), nastudujte si linuxový netfilter. Není to zase až tak složité a moc to pomůže. Stejně tak doporučuji Linux documentation project, především část o síťování. Dostane to do hlavy principy.

K věci:

Co přijde do chainu INPUT v tabulce filter nikdy neopustí tento stroj. Je to jen VSTUP.

Co jde zkrz, je vždy FORWARD.

Tuto ochranu je lepší vyčlenit do extra chainu (a nespecifikovat to na úroveň portů) a provádět tam jen odskok pro connection-state new z INPUTU a klidně i forwardu. Pak je to univerzální (odskočím si tam s libovolným portem) a lze tím ochránit cokoliv (dělám to i pro winbox, chain se pak nemění). Příklad jsem tu už dával, nejspíš ne jednou.

Také doporučuji používat whitelist. Aby pak člověk nebyl deset dnů na nervy ...

Ale jinak je to ochrana jen částečná. Počítá to připojení. Jenže v jedné konexi lze většinou zkusit těch přihlášení víc (a v MK tohle nejde změnit).

add action=drop chain=sshchain comment="SSH prevent brute force" src-address-list=sys_ssh_blacklist

add action=accept chain=sshchain comment="whitelist" src-address-list=sysSshWhitelist

add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3

add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2

add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1

add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new

add action=accept chain=sshchain

/ip firewall filter

add chain=input comment=navazane connection-state=established,related,untracked

#nejenom ochrana tim pocitanim konexi, ale zaroven globalnejsi povoleni addresslistem

add action=jump chain=input connection-state=new dst-port=22,8291 jump-target=sshchain protocol=tcp src-address-list=sysInputNets

#sem samozrejme prijdou ostatni povoleni INPUTu

#a konci se dropem vseho ostatniho

add action=drop chain=input

i toto jsem vyzkousel a kdyz se prihlasim na ssh tak se nestane nikde nic, navic tu druhou cast prilis nechapu. pridal sem tam jeste port 2222 tak ze ted tam je dst-port=22,8291,2222 a nic se nedeje, a nebo deje a nevim kam se kouknout.

rsaf

Je vůbec potřeba SSH takto chránit? Podle mě je nestandardní port (ale 222 či 2222 to není) + použití klíčů naprosto dostatečná ochrana.

imhotepcz

Je vůbec potřeba SSH takto chránit? Podle mě je nestandardní port (ale 222 či 2222 to není) + použití klíčů naprosto dostatečná ochrana.

ne vzdy je pouziti klicu zadouci, navic pokud mekdo se chce nekam dostat tak si to oskenuje. Vzhledem k tomu ze me mikrotik uz hackli tak to hold resim, a pristup z venci proste potrebuji.

myghael

Doporučil bych všechno zvenku znepřístupnit a vzdálený přístup řešit pomocí VPN.

ludvik

a) mluví se o mikrotiku

b) fail2ban je z principu relativně pomalý. Byť univerzální.

A není lepší použít na Linuxu fail2ban? Funguje to na kde co, ne jen na SSHčko. To co tu je pro Mikrotik, z toho fal2ban v podstatě vychází, akorát že mikrotik hází odchycený IPčka dynamicky do address listu a po restartu se smažou.

ludvik

Ideální řešení. V ideálním světě.

Při dohledu stovek zařízení, kde nestačí SNMP je VPNka dost overkill. Dohled VLAN přes celou síť může být nemožné využít. A pak je člověk rád za univerzální firewall přímo na zařízení. A i na tu VPN mohou být útoky. Kromě toho dost často potřebuje člověk přístup i v momentě, kdy ta VPN nejede.

Doporučil bych všechno zvenku znepřístupnit a vzdálený přístup řešit pomocí VPN.

imhotepcz

Doporučil bych všechno zvenku znepřístupnit a vzdálený přístup řešit pomocí VPN.

ale i to se hacknout, a resit to tim ze vsude budu tahat sebou certifikaty a resit to pomoci nich jeni uplne to prave, i kdyz bezpecne.

rsaf

Doporučil bych všechno zvenku znepřístupnit a vzdálený přístup řešit pomocí VPN.

To je sice fajn ale ne vždy ideální, zvláště když se tam potřebuješ připojit narychlo někde z cest z cizího PC.

Jinak mě to prostě připadá zbytečná paranoia. Mám několik zařízení (mikrotik to ale asi není), která jsou již mnoho let vystrčená do internetu s SSHčkem na portu 22, používají se tam hesla (bezpečná) a kromě plnících se logů se nic neděje. Myslím si, že v OpenSSH nebyla nějaká použitelná remote zranitelnost už hooodně let.

Jinak málokdy povoluji SSH zvenčí přímo na zařízení - většinou se SSHčkuju na nějaký server a do zařízení až z něj. Pro stejný účel mám windowsovou virtuálku, kam chodím vzdálenou plochou.

ludvik

i toto jsem vyzkousel a kdyz se prihlasim na ssh tak se nestane nikde nic, navic tu druhou cast prilis nechapu. pridal sem tam jeste port 2222 tak ze ted tam je dst-port=22,8291,2222 a nic se nedeje, a nebo deje a nevim kam se kouknout.

Tohle funguje. Pravidlo způsobí to, že při první paketu na port 22 skočí do chainu sshchain. Pokud je to první paket (za nějakou dobu) dojde až na předposlední pravidlo a uloží IP do toho addresslistu. A následující pravidlo tu konexi akceptuje.

Pokud během minuty přijde další nová konexe, už nezabere předposlední pravidlo, ale předpředposlední ... a pak poslední opět akceptuje.

Čtvrté připojení už to uloží do addresslistu blacklistu.

Páté skončí hned na prvním pravidle ... a nedovolí připojení, protože tam už je DROP.

Každý řádek firewallu má počítadlo.

iTomB

i toto jsem vyzkousel a kdyz se prihlasim na ssh tak se nestane nikde nic, navic tu druhou cast prilis nechapu. pridal sem tam jeste port 2222 tak ze ted tam je dst-port=22,8291,2222 a nic se nedeje, a nebo deje a nevim kam se kouknout.

Pokud během minuty přijde další nová konexe, už nezabere předposlední pravidlo, ale předpředposlední ... a pak poslední opět akceptuje.

Čtvrté připojení už to uloží do addresslistu blacklistu.

Páté skončí hned na prvním pravidle ... a nedovolí připojení, protože tam už je DROP.

Každý řádek firewallu má počítadlo.

Mas to taky trosku zbytecne.

Cele tohle vychazi z meho scriptu, co tu je uz hodne let. V sshchain nemusis uz testovat zda je to nova konexe, porty atd. Muzes tam skocit jak z INPUTu, tak z FORWARDu. Takze pak uz jen testujes zda je to utok ci nikoliv.

Dalsi zabezpeceni je portnocking. Pouzivam a celkem spokojene. Spojeni tehle dvou casti je zatim pro me 100% dostacujici.

ludvik

A ty jsi zase vyšel od někoho jiného :-)

Nemusím to tam testovat. Je to tam spíš jako pojistka (ne pro mě). Výkonu to nestojí nic.

imhotepcz

Doporučil bych všechno zvenku znepřístupnit a vzdálený přístup řešit pomocí VPN.

To je sice fajn ale ne vždy ideální, zvláště když se tam potřebuješ připojit narychlo někde z cest z cizího PC.

kdyby mi to nehackli ver tomu ze bych to neresil, mam spoustu jiny prace.

ludvik

Na druhou stranu proti hackům z poslední doby ti to stejně vlastně nepomůže.

rsaf

Žádný z těch hacků ovšem nebyl přes SSH. Port knocking je dobrá varianta

imhotepcz

i toto jsem vyzkousel a kdyz se prihlasim na ssh tak se nestane nikde nic, navic tu druhou cast prilis nechapu. pridal sem tam jeste port 2222 tak ze ted tam je dst-port=22,8291,2222 a nic se nedeje, a nebo deje a nevim kam se kouknout.

Pokud během minuty přijde další nová konexe, už nezabere předposlední pravidlo, ale předpředposlední ... a pak poslední opět akceptuje.

Čtvrté připojení už to uloží do addresslistu blacklistu.

Páté skončí hned na prvním pravidle ... a nedovolí připojení, protože tam už je DROP.

Každý řádek firewallu má počítadlo.

ano to je toto,

add action=drop chain=sshchain comment="SSH prevent brute force" src-address-list=sys_ssh_blacklist

add action=accept chain=sshchain comment="whitelist" src-address-list=sysSshWhitelist

add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3

add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2

add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1

add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new

add action=accept chain=sshchain

to ale neudela nic, ja tedy nic nevidim

[admin@MikroTik-internet] /ip firewall filter> /ip firewall address-list print

Flags: X - disabled, D - dynamic

# LIST ADDRESS CREATION-TIME TIMEOUT

0 orange 192.168.100.0/24 sep/01/2018 10:04:05

1 orange 192.168.101.0/24 sep/01/2018 10:04:05

2 orange 192.168.102.0/24 sep/01/2018 10:04:05

3 blue 192.168.100.0/24 sep/01/2018 10:04:05

4 blue 192.168.102.0/24 sep/01/2018 10:04:05

5 D ssh_blacklist 125.65.42.181 nov/01/2018 15:58:07 28m20s

6 D ssh_blacklist 193.201.224.232 nov/01/2018 17:28:20 1h58m33s

7 D ssh_blacklist 139.162.75.112 nov/02/2018 02:41:54 11h12m8s

8 D ssh_blacklist 116.31.116.45 nov/02/2018 16:48:22 1d1h18m35s

9 D ssh_blacklist 46.119.119.241 nov/03/2018 07:26:29 1d15h56m42s

10 D ssh_blacklist 42.56.89.209 nov/03/2018 14:13:49 1d22h44m2s

11 D pptp_blacklist 107.152.138.204 nov/04/2018 01:49:56 2d10h20m10s

12 D ssh_blacklist 195.154.102.193 nov/04/2018 12:38:30 2d21h8m43s

13 D api_blacklist 107.152.138.204 nov/04/2018 18:52:59 3d3h23m12s

14 D api-ssl_blacklist 107.152.138.204 nov/04/2018 18:53:06 3d3h23m19s

15 D ssh_blacklist 139.162.207.228 nov/04/2018 23:34:09 3d8h4m22s

16 D ssh_blacklist 97.107.130.28 nov/04/2018 23:34:11 3d8h4m24s

17 D ssh_blacklist 54.213.202.52 nov/06/2018 08:00:49 4d16h31m2s

18 D ssh_blacklist 212.129.48.45 nov/06/2018 15:25:24 4d23h55m37s

19 D ssh_blacklist 208.100.26.231 nov/06/2018 19:49:32 5d4h19m46s

20 D ssh_blacklist 117.50.7.159 nov/10/2018 21:21:29 1w2d5h51m42s

21 D ssh_blacklist 185.246.128.25 nov/10/2018 22:44:41 1w2d7h14m55s

22 D ssh_blacklist 103.207.39.11 nov/11/2018 04:00:51 1w2d12h31m4s

23 D pptp_blacklist 212.111.43.128 nov/11/2018 08:06:19 1w2d16h36m32s

24 blacklist-trvale 117.50.7.159 nov/11/2018 08:34:36

25 blacklist-trvale 46.119.119.241 nov/11/2018 08:39:42

26 blacklist-trvale 97.107.130.28 nov/11/2018 08:41:36

27 blacklist-trvale 103.207.39.11 nov/11/2018 08:42:39

28 blacklist-trvale 116.31.116.45 nov/11/2018 08:43:33

29 blacklist-trvale 125.65.42.181 nov/11/2018 08:46:26

30 blacklist-trvale 139.162.75.112 nov/11/2018 08:47:38

31 blacklist-trvale 185.246.128.25 nov/11/2018 08:48:50

32 blacklist-trvale 193.201.224.232 nov/11/2018 08:49:40

33 blacklist-trvale 208.100.26.231 nov/11/2018 08:50:57

34 blacklist-trvale 212.129.48.45 nov/11/2018 08:52:02

35 D ssh_blacklist 61.184.247.12 nov/11/2018 12:52:09 1w2d21h22m22s

36 D ssh_blacklist 119.29.130.253 nov/11/2018 13:01:26 1w2d21h31m39s

37 D ssh_blacklist 122.226.181.166 nov/11/2018 13:36:23 1w2d22h6m35s

38 D ssh_blacklist 200.33.171.13 nov/11/2018 13:48:11 1w2d22h18m24s

39 D ssh_blacklist 5.188.10.182 nov/11/2018 13:52:37 1w2d22h22m50s

[admin@MikroTik-internet] /ip firewall filter>

pro predstavu co mi to hlasi a kolik utoku a zablokovanych adres uz mam ale jen na ssh do mikrotiku coz je port 22 to funguje bez potizi ale ja mam pomoci nat nasmerovan port 2222 z venci na port 22 do vnitr tam to nemuzu rozchodit.

druha cast dotazu smerovala na toto

/ip firewall filter

add chain=input comment=navazane connection-state=established,related,untracked

#nejenom ochrana tim pocitanim konexi, ale zaroven globalnejsi povoleni addresslistem

add action=jump chain=input connection-state=new dst-port=22,8291 jump-target=sshchain protocol=tcp src-address-list=sysInputNets

#sem samozrejme prijdou ostatni povoleni INPUTu

#a konci se dropem vseho ostatniho

add action=drop chain=input

nevim co to ma delat, ale pokud sem to nasadil, tak mi klienti se zacali ozyvat ze jim nejde internet ale me sel, oni jsou ale v jine siti, ty mam 3 domaci, wifi, a web server s postou, kazda szt muze nekam jinam, domaci sit treba vsude ale sit kde jsou weby jen do internetu, jinam ne. je to okopirovany ipcop site green, blue, orange, a red byl internet.

Další stránka »