Порт dropbear смените на какой-нибудь из выше 1024. Я тоже сперва выставил в инет db на 22 порту, пароль подбирали каждый день. Не подобрали, но потом мне надоело и я перевел db на 22000, за месяц ни одной попытки не зафиксировано.
Имеется WL-500gP, прошивка 1.9.2.7-7f post5, реальный ИП, и необходимость доступа к роутеру по SSH с интернета (с различных ИП адресов).
На роутере запущен dropbear (ранее запущен был идущий в прошивке, сейчас поставил пакет dropbear 0.48.1-1).
Заметил в логах огромное количество попыток подключения по ssh:
с одного и того же ИП, интервал - 2...4 секунды, и уже более 10 часов подряд, иногда натыкается на пользователя 'admin':Code:Jan 16 15:44:00 dropbear[2160]: Child connection from ::ffff:66.240.221.***:38230 Jan 16 15:44:02 dropbear[2160]: login attempt for nonexistent user from ::ffff:66.240.221.***:38230 Jan 16 15:44:03 dropbear[2160]: exit before auth: Disconnect received
Насколько "сильна" защита dropbear от "взлома"?Code:Jan 16 11:07:22 dropbear[29822]: Child connection from ::ffff:66.240.221.***:59692 Jan 16 11:07:24 dropbear[29822]: bad password attempt for 'admin' from ::ffff:66.240.221.***:59692 Jan 16 11:07:24 dropbear[29822]: exit before auth (user 'admin', 1 fails): Disconnect received
Какова минимально-рекомендуемая длина пароля для обеспечения достаточной безопасности?
Возможно ли бороться с этим (задать тайм-аут на подключение или как то еще), а за одно избавиться от "паразитного трафика"?
ПС. Возможно, меня бы это не так сильно смущало, если бы не результаты сканирования (с WAN) с помощью XSpider 7.5 (Demo):
Last edited by SergeyVl; 16-01-2007 at 21:36.
Порт dropbear смените на какой-нибудь из выше 1024. Я тоже сперва выставил в инет db на 22 порту, пароль подбирали каждый день. Не подобрали, но потом мне надоело и я перевел db на 22000, за месяц ни одной попытки не зафиксировано.
У меня тоже есть роутер!
А я просто ограничил количество попыток
Code:iptables -t nat -I PREROUTING -i $WAN -p tcp -m state --state NEW --dport 22 \ -m recent --set --name SSH_ATTACKER --rsource iptables -I INPUT -i $WAN -p tcp -m state --state NEW --dport 22 \ -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
Произвольный порт рано или позно могут найти простым сканированием открытых портов. я хитрее настроил - несколько раз в час проверяется лог на предмет попыток подключения с неверным паролем - провинившимся адресам прикрывается 22й порт, адреса сохраняются на флешки и после перезагрузки также блокируются в пост-файрволе. Периодически вручную сортирую этот список и при двойном мопадании закрываю нафиг доступ по всем портам на всю подсеть. Процентов 80-90 лезут китайцы (дырявые маскивыданных китайцами подсетей - это отдельная песния)
ЗЫж Хотя еще более секурно-открыть доступ исключительно на подсети из которых сам заходиш, но не всегда знаешь откуда придется лезть..
Да никому это не надо, сканировать все порты. Робот запущен или скрипт-кид, перебирает стандартные типа 22, 23, 3389, 80, 8080 и т.д. Находит, пытается поломать, не находит, уходит. Вряд ли у кого-то хранятся данные, за которые могут заплатить деньги, чтобы достали. А если хранятся, то вообще не стоит в инет открывать хоть что-то.
У меня тоже есть роутер!
Да просто. допускается не более 2 попыток входа в течении 10 минут.а как это ограничивает количество попыток?
Но самое красивое (правда параноидальное) решение, которое я видел, это когда для доступа по ssh надо предварительно стукнуться на какой-нибуть нестандартный порт, типа того-же 22000, и потом получать доступ по 22.
alexnik, у меня вот так вот получается:
Ты какиенибудь модули дополнительные к ядру прикручивал?Code:[root@router /tmp]$ iptables -t nat -I PREROUTING -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource iptables: No chain/target/match by that name
alexnik, спасибо за наводку. Сам недогадался. Все правила прописались
я правильно понимаю, что надо
а) добавить в post-boot строчку в конце
б) добавить в post-firewall две строчки в концеCode:insmod ipt_recent
где 1555 - порт sshCode:iptables -t nat -I PREROUTING -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource iptables -I INPUT -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
Чё та не работает нифига...
Кто ещё не купил роутер?
seeker
именно так.
Возможно не тот интерфейс подставляется в post-firewall-е.
что говорит?Code:iptables -L -v | grep SSH_ATTACKER
Last edited by alexnik; 17-01-2007 at 15:37.
Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединенияCode:25 1428 DROP tcp -- vlan1 any anywhere anywhere state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source