Page 2 of 21 FirstFirst 123412 ... LastLast
Results 16 to 30 of 310

Thread: Безопасность SSH (dropbear)

  1. #16
    Quote Originally Posted by alexnik View Post
    Code:
     25  1428 DROP       tcp  --  vlan1  any     anywhere             anywhere            state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
    Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединения
    соединение vpn - ppp0. вот что говорит
    Code:
        0     0 DROP       tcp  --  ppp0   any     anywhere             anywhere
           state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
    H_ATTACKER side: source
    нужно что бы защита работала со стороны wan независимо от того, атакуют ли из нета через впн или из локалки со внешней стороны.
    Кто ещё не купил роутер?

  2. #17
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP

  3. #18
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    а что означает $3?
    Кто ещё не купил роутер?

  4. #19

    Wink

    Quote Originally Posted by seeker View Post
    а что означает $3?
    Это сколько Вы задолжали форуму за советы=)))

  5. #20
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    в результате этих строк ssh теперь всегда посылает меня даже с лана
    Кто ещё не купил роутер?

  6. #21
    Quote Originally Posted by seeker View Post
    а что означает $3?
    $3 это lan интерфейс, должно подставиться br0.

    в результате этих строк ssh теперь всегда посылает меня даже с лана
    на 22 порт?

  7. #22
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    вобщем добавление данных строчек не помогло - коннектится пытаться можно сколько угодно с вана.
    вот что говорит
    iptables -L -v | grep SSH_ATTACKER
    Code:
        0     0 DROP       tcp  --  !br0   any     anywhere             anywhere
           state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
    H_ATTACKER side: source
        0     0            tcp  --  !br0   any     anywhere             anywhere
           state NEW tcp dpt:https recent: SET name: SSH_ATTACKER side: source
    Кто ещё не купил роутер?

  8. #23
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157
    Сделайте проще:
    ---

    #!/bin/sh
    ## WEB,SSH and FTP access from WAN
    ## Set default policy
    iptables -P INPUT DROP
    ## Removes last default rule
    iptables -D INPUT -j DROP
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP

  9. #24
    Quote Originally Posted by seeker View Post
    вобщем добавление данных строчек не помогло - коннектится пытаться можно сколько угодно с вана.
    вот что говорит
    iptables -L -v | grep SSH_ATTACKER
    Code:
        0     0 DROP       tcp  --  !br0   any     anywhere             anywhere
           state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
    H_ATTACKER side: source
        0     0            tcp  --  !br0   any     anywhere             anywhere
           state NEW tcp dpt:https recent: SET name: SSH_ATTACKER side: source
    А перенаправлаешь 1555 через прероутинг? если да тогда порт должен быть порт для правил должен быть 22.

  10. #25
    Quote Originally Posted by black_128 View Post
    Сделайте проще:
    ---

    #!/bin/sh
    ## WEB,SSH and FTP access from WAN
    ## Set default policy
    iptables -P INPUT DROP
    ## Removes last default rule
    iptables -D INPUT -j DROP
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log
    это тоже самое, что обсуждается. только в цепочке сразу задается все. И наружу открывается 22 порт.
    Кстати, если кто-то хочет логировать отвергнутые попытки, рекомендую не использовать logdrop, а взять правило с ограничением лога, как в коде. Лог не так разбухать будет.

  11. #26
    Quote Originally Posted by alexnik View Post
    А перенаправлаешь 1555 через прероутинг? если да тогда порт должен быть порт для правил должен быть 22.
    вот post-firewall
    Code:
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 22 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1555 -j DNAT --to-destination 192.168.1.1:22
    iptables -A INPUT -j DROP
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    пробовал менять последние две строчки - вместо 1555 поставил 22 и перезапустил роутер - по крайней мере с лана пускает скока угодно также, исо стороны вана пока проверить не могу.
    Кто ещё не купил роутер?

  12. #27
    я вот все слежу за темой когда же народ найдет оптимальное решение =)
    но всеже захотел разобраться что есть это? :
    Code:
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    конкретно как работает ## Block SSH brute force attacks что там собственно задается то, а то конешно можно тупо вписать и не париться но хотелось бы знать как оно работает =)

  13. #28
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157
    Чтобы расшифровать что и как работает, посмотрите описание комманды iptables в интернете.

    Что касается строчек ##Block brute force, то данные инструкции блокируют входящие обращения, с частотой больше 4-х в течении одной минуты. Блокируется отправитель также на одну минуту.

    Это позволит отсеить массу роботов.
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP

  14. #29
    Quote Originally Posted by seeker View Post

    пробовал менять последние две строчки - вместо 1555 поставил 22 и перезапустил роутер - по крайней мере с лана пускает скока угодно также, исо стороны вана пока проверить не могу.
    ну со стороны лана тоже можно проверить убрав -i ! $3.

    GearST
    В общем есть match recent который позволяет маркировать пакеты.

    --rcheck --seconds x --hitcount y

    проверяет за интервал времени x наличие y пакетов и в случае успеха выполняет действие. соответсвено за промежуток времени пропускается y-1 маркированый пакет пакет.

  15. #30
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157

    Thumbs down Хакеры взломали роутер? Посмотрим логи...

    Доброго времени суток!
    Ребята, с недавнего времени возниклы некие вопросы по непонятному поведению роутера. Роутер работает прекрасно с сетью netbynet.ru, работает SAMBA, dropbear, ftp и WWW. Домашняя сеть состоит из 2х компьютеров - ноутбука во WiFi и системника по Ethernet кабелю.

    После установки SSH (dropbear) и открытию порта 22 наружу (телнет отключён раз 22й открыт), начали ломиться и брутфорсить 22й порт - ну да ладно, я сделал post-firewall:

    Code:
    #!/bin/sh
    ## WEB,SSH and FTP access from WAN
    ## Set default policy
    iptables -P INPUT DROP
    ## Removes last default rule
    iptables -D INPUT -j DROP
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log
    Ломиться на 22й порт перестали. НО! я заметил, что заходя по SSH, директории появились масса файлов с настройками, которые я никогда не прописывал ручками.
    Вот скриншот файлов:



    Причем внутри скажем файла filter_rules можно увидеть следующее:

    Code:
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :MACS - [0:0]
    :SECURITY - [0:0]
    :logaccept - [0:0]
    :logdrop - [0:0]
    -A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
    -A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
    -A SECURITY -p udp -m limit --limit 5/s -j RETURN
    -A SECURITY -p icmp -m limit --limit 5/s -j RETURN
    -A SECURITY -j DROP
    -A INPUT -m state --state INVALID -j DROP
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -i lo -m state --state NEW -j ACCEPT
    -A INPUT -i br0 -m state --state NEW -j ACCEPT
    -A INPUT -i ppp0 -m state --state NEW -j SECURITY
    -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 80 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 7776 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -j DROP
    -A FORWARD -i br0 -o br0 -j ACCEPT
    -A FORWARD -m state --state INVALID -j DROP
    -A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu
    -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A FORWARD -o ppp0 ! -i br0 -j DROP
    -A FORWARD -o vlan1 ! -i br0 -j DROP
    -A FORWARD ! -i br0 -m state --state NEW -j SECURITY
    -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
    -A FORWARD -o br0 -j DROP
    -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
    -A logaccept -j ACCEPT
    -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
    -A logdrop -j DROP
    COMMIT
    Причем никаких портов 7777 и 7776 я не задавал. И WEB камеры у меня нет.

    В логе стали появляться сообщения (обратите внимание на количество посланный и принятых байт).

    Code:
    Jan 22 11:53:38 pppd[112]: Child process /usr/sbin/pptp 10.7.255.249 --nolaunchpppd (pid 443) terminated with signal 15
    Jan 22 11:53:38 pppd[112]: Modem hangup
    Jan 22 11:53:38 pppd[112]: Connection terminated.
    Jan 22 11:53:38 pppd[112]: Connect time 59.0 minutes.
    Jan 22 11:53:38 pppd[112]: Sent 19494331 bytes, received 215195095 bytes.
    Jan 22 11:53:38 pppd[112]: Connect time 59.0 minutes.
    Jan 22 11:53:38 pppd[112]: Sent 19494331 bytes, received 215195095 bytes.
    Jan 22 11:53:38 pppd[112]: Exit.
    
    Jan 22 04:54:39 pppd[112]: Starting link
    Jan 22 04:54:39 pppd[112]: Serial connection established.
    Jan 22 04:54:39 pppd[112]: Connect: ppp0 <--> /dev/pts/0
    Jan 22 04:54:39 pptp[390]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated 
    Jan 22 04:54:39 pptp[393]: anon warn[route_add:pptp_callmgr.c:457]: route_add: not adding existing route
    Jan 22 04:54:39 pptp[393]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request' 
    Jan 22 04:54:39 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:732]: Received Start Control Connection Reply
    Jan 22 04:54:39 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:766]: Client connection established.
    Jan 22 04:54:40 pptp[393]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request' 
    Jan 22 04:54:40 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:851]: Received Outgoing Call Reply.
    Jan 22 04:54:40 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:890]: Outgoing call established (call ID 0, peer's call ID 32768). 
    Jan 22 04:54:40 pppd[112]: MPPE 128-bit stateless compression enabled
    Jan 22 04:54:43 pppd[112]: Remote IP address changed to 192.168.254.10
    Jan 22 04:54:43 PPTP: connect to ISP
    Причем в это время (я знаю точно), компьютеры в локалке были выключены. Скажите, можно ли со всем этим разобраться, и что делать???

    Прошу Вас протестировать мою систему на предмет уязвимостей, и помочь закрыть от атак мой роутер.


    СПИСИБО!
    Last edited by black_128; 22-01-2007 at 21:56.
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP

Page 2 of 21 FirstFirst 123412 ... LastLast

Similar Threads

  1. Внимание! Безопасность Linux-based MIPSel роутеров!
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 129
    Last Post: 06-08-2019, 23:48

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •