Results 1 to 15 of 310

Thread: Безопасность SSH (dropbear)

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. 17-01-2007, 14:01 #1
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    Quote Originally Posted by Mam(O)n View Post
    alexnik, у меня вот так вот получается:
    Code:
    [root@router /tmp]$ iptables -t nat -I PREROUTING -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
iptables: No chain/target/match by that name
    Ты какиенибудь модули дополнительные к ядру прикручивал?
    Все в прошивке есть, просто ipt_recent не запушен.
    insmod ipt_recent тебе поможет.
    Для использования правила в post-firewall-е добавить эту строчку в post-boot.
    и заменить $WAN на $1
    Reply With Quote Reply With Quote
  2. 17-01-2007, 14:27 #2
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    alexnik, спасибо за наводку. Сам недогадался. Все правила прописались
    Reply With Quote Reply With Quote
  3. 17-01-2007, 14:34 #3
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    Все в прошивке есть, просто ipt_recent не запушен.
    insmod ipt_recent тебе поможет.
    Для использования правила в post-firewall-е добавить эту строчку в post-boot.
    и заменить $WAN на $1
    я правильно понимаю, что надо
    а) добавить в post-boot строчку в конце
    Code:
    insmod ipt_recent
    б) добавить в post-firewall две строчки в конце
    Code:
    iptables -t nat -I PREROUTING -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    где 1555 - порт ssh

    Чё та не работает нифига...
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  4. 17-01-2007, 15:26 #4
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    seeker
    именно так.
    Возможно не тот интерфейс подставляется в post-firewall-е.
    Code:
     iptables -L -v | grep SSH_ATTACKER
    что говорит?
    Last edited by alexnik; 17-01-2007 at 15:37.
    Reply With Quote Reply With Quote
  5. 17-01-2007, 15:32 #5
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    Code:
     25  1428 DROP       tcp  --  vlan1  any     anywhere             anywhere            state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
    Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединения
    Reply With Quote Reply With Quote
  6. 18-01-2007, 14:13 #6
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    Code:
     25  1428 DROP       tcp  --  vlan1  any     anywhere             anywhere            state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
    Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединения
    соединение vpn - ppp0. вот что говорит
    Code:
        0     0 DROP       tcp  --  ppp0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
H_ATTACKER side: source
    нужно что бы защита работала со стороны wan независимо от того, атакуют ли из нета через впн или из локалки со внешней стороны.
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  7. 18-01-2007, 16:10 #7
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    Reply With Quote Reply With Quote
  8. 18-01-2007, 16:16 #8
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    а что означает $3?
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  9. 18-01-2007, 18:40 #9
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    в результате этих строк ssh теперь всегда посылает меня даже с лана
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  10. 19-01-2007, 21:07 #10
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    вобщем добавление данных строчек не помогло - коннектится пытаться можно сколько угодно с вана.
    вот что говорит
    iptables -L -v | grep SSH_ATTACKER
    Code:
        0     0 DROP       tcp  --  !br0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
H_ATTACKER side: source
    0     0            tcp  --  !br0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: SET name: SSH_ATTACKER side: source
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  11. 06-02-2007, 04:44 #11
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by alexnik View Post
    insmod ipt_recent тебе поможет.
    Для использования правила в post-firewall-е добавить эту строчку в post-boot
    Заметил, что у меня после добавления этой строки в конец post-boot не успевал подгружаться данный модуль, прежде, чем запустится post-firewall, по причине того, что до этого выполнялось еще много строк bost-boot'а и в следствие чего правила, ограничивающие доступ к ssh не прописывались. Будьте внимательны! Лучше "insmod ipt_recent" добавить в pre-boot.
    Reply With Quote Reply With Quote
  12. 08-02-2007, 22:26 #12
    shooter
    shooter is offline Junior Member
    Join Date
    Aug 2006
    Location
    St.-Petersburg
    Posts
    22
    Для усиления паранои можно поднять stunnel и требовать проверки сертификата на порту, открываемом после схемы с стуком по доп. портам. А из stunnel по 127.0.0.1 на 22 порт.

    А серт с ключами носить с собой на КПК/флшке.
    В случае флешки регулярно вносить его в CRL после использования в темном месте и генерировать новый. =)
    Reply With Quote Reply With Quote
  13. 08-02-2007, 22:42 #13
    imdex
    imdex is offline Senior Member
    Send a message via ICQ to imdex
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Quote Originally Posted by shooter View Post
    Для усиления паранои можно поднять stunnel и требовать проверки сертификата на порту, открываемом после схемы с стуком по доп. портам. А из stunnel по 127.0.0.1 на 22 порт.

    А серт с ключами носить с собой на КПК/флшке.
    В случае флешки регулярно вносить его в CRL после использования в темном месте и генерировать новый. =)
    Если вы не параноик, это вовсе не значит, что за вами не следят.
    У меня тоже есть роутер!
    Reply With Quote Reply With Quote
« Previous Thread | Next Thread »

Similar Threads

  1. Внимание! Безопасность Linux-based MIPSel роутеров!
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 129
    Last Post: 06-08-2019, 22:48

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules