Page 1 of 21 12311 ... LastLast
Results 1 to 15 of 310

Thread: Безопасность SSH (dropbear)

  1. #1
    Join Date
    Jan 2006
    Location
    Moscow
    Posts
    85

    Exclamation Безопасность SSH (dropbear)

    Имеется WL-500gP, прошивка 1.9.2.7-7f post5, реальный ИП, и необходимость доступа к роутеру по SSH с интернета (с различных ИП адресов).
    На роутере запущен dropbear (ранее запущен был идущий в прошивке, сейчас поставил пакет dropbear 0.48.1-1).
    Заметил в логах огромное количество попыток подключения по ssh:
    Code:
    Jan 16 15:44:00 dropbear[2160]: Child connection from ::ffff:66.240.221.***:38230
    Jan 16 15:44:02 dropbear[2160]: login attempt for nonexistent user from ::ffff:66.240.221.***:38230
    Jan 16 15:44:03 dropbear[2160]: exit before auth: Disconnect received
    с одного и того же ИП, интервал - 2...4 секунды, и уже более 10 часов подряд, иногда натыкается на пользователя 'admin':
    Code:
    Jan 16 11:07:22 dropbear[29822]: Child connection from ::ffff:66.240.221.***:59692
    Jan 16 11:07:24 dropbear[29822]: bad password attempt for 'admin' from ::ffff:66.240.221.***:59692
    Jan 16 11:07:24 dropbear[29822]: exit before auth (user 'admin', 1 fails): Disconnect received
    Насколько "сильна" защита dropbear от "взлома"?
    Какова минимально-рекомендуемая длина пароля для обеспечения достаточной безопасности?
    Возможно ли бороться с этим (задать тайм-аут на подключение или как то еще), а за одно избавиться от "паразитного трафика"?

    ПС. Возможно, меня бы это не так сильно смущало, если бы не результаты сканирования (с WAN) с помощью XSpider 7.5 (Demo):
    Attached Images Attached Images     
    Last edited by SergeyVl; 16-01-2007 at 22:36.

  2. #2
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Порт dropbear смените на какой-нибудь из выше 1024. Я тоже сперва выставил в инет db на 22 порту, пароль подбирали каждый день. Не подобрали, но потом мне надоело и я перевел db на 22000, за месяц ни одной попытки не зафиксировано.
    У меня тоже есть роутер!

  3. #3
    Quote Originally Posted by imdex View Post
    Порт dropbear смените на какой-нибудь из выше 1024. Я тоже сперва выставил в инет db на 22 порту, пароль подбирали каждый день. Не подобрали, но потом мне надоело и я перевел db на 22000, за месяц ни одной попытки не зафиксировано.
    аналогично. 1022 порт
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!

  4. #4
    А я просто ограничил количество попыток
    Code:
    iptables -t nat -I PREROUTING -i $WAN -p tcp -m state --state NEW --dport 22 \
            -m recent --set --name SSH_ATTACKER --rsource
    iptables        -I INPUT      -i $WAN -p tcp -m state --state NEW --dport 22 \
            -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP

  5. #5
    Произвольный порт рано или позно могут найти простым сканированием открытых портов. я хитрее настроил - несколько раз в час проверяется лог на предмет попыток подключения с неверным паролем - провинившимся адресам прикрывается 22й порт, адреса сохраняются на флешки и после перезагрузки также блокируются в пост-файрволе. Периодически вручную сортирую этот список и при двойном мопадании закрываю нафиг доступ по всем портам на всю подсеть. Процентов 80-90 лезут китайцы (дырявые маскивыданных китайцами подсетей - это отдельная песния)

    ЗЫж Хотя еще более секурно-открыть доступ исключительно на подсети из которых сам заходиш, но не всегда знаешь откуда придется лезть..

  6. #6
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Quote Originally Posted by Duke View Post
    Произвольный порт рано или позно могут найти простым сканированием открытых портов. я хитрее настроил - несколько раз в час проверяется лог на предмет попыток подключения с неверным паролем - провинившимся адресам прикрывается 22й порт, адреса сохраняются на флешки и после перезагрузки также блокируются в пост-файрволе. Периодически вручную сортирую этот список и при двойном мопадании закрываю нафиг доступ по всем портам на всю подсеть. Процентов 80-90 лезут китайцы (дырявые маскивыданных китайцами подсетей - это отдельная песния)

    ЗЫж Хотя еще более секурно-открыть доступ исключительно на подсети из которых сам заходиш, но не всегда знаешь откуда придется лезть..
    Да никому это не надо, сканировать все порты. Робот запущен или скрипт-кид, перебирает стандартные типа 22, 23, 3389, 80, 8080 и т.д. Находит, пытается поломать, не находит, уходит. Вряд ли у кого-то хранятся данные, за которые могут заплатить деньги, чтобы достали. А если хранятся, то вообще не стоит в инет открывать хоть что-то.
    У меня тоже есть роутер!

  7. #7
    Quote Originally Posted by alexnik View Post
    А я просто ограничил количество попыток
    Code:
    iptables -t nat -I PREROUTING -i $WAN -p tcp -m state --state NEW --dport 22 \
            -m recent --set --name SSH_ATTACKER --rsource
    iptables        -I INPUT      -i $WAN -p tcp -m state --state NEW --dport 22 \
            -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    а как это ограничивает количество попыток?
    Кто ещё не купил роутер?

  8. #8
    а как это ограничивает количество попыток?
    Да просто. допускается не более 2 попыток входа в течении 10 минут.
    Но самое красивое (правда параноидальное) решение, которое я видел, это когда для доступа по ssh надо предварительно стукнуться на какой-нибуть нестандартный порт, типа того-же 22000, и потом получать доступ по 22.

  9. #9
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    alexnik, у меня вот так вот получается:
    Code:
    [root@router /tmp]$ iptables -t nat -I PREROUTING -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
    iptables: No chain/target/match by that name
    Ты какиенибудь модули дополнительные к ядру прикручивал?

  10. #10
    Quote Originally Posted by alexnik View Post
    А я просто ограничил количество попыток
    Code:
    iptables -t nat -I PREROUTING -i $WAN -p tcp -m state --state NEW --dport 22 \
            -m recent --set --name SSH_ATTACKER --rsource
    iptables        -I INPUT      -i $WAN -p tcp -m state --state NEW --dport 22 \
            -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    добавил это в конце post-firewall, сменив 22 на номер своего порта для ssh, не помогает. пытайся коннетиться хоть сто раз подряд.
    Кто ещё не купил роутер?

  11. #11
    Quote Originally Posted by Mam(O)n View Post
    alexnik, у меня вот так вот получается:
    Code:
    [root@router /tmp]$ iptables -t nat -I PREROUTING -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
    iptables: No chain/target/match by that name
    Ты какиенибудь модули дополнительные к ядру прикручивал?
    Все в прошивке есть, просто ipt_recent не запушен.
    insmod ipt_recent тебе поможет.
    Для использования правила в post-firewall-е добавить эту строчку в post-boot.
    и заменить $WAN на $1

  12. #12
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    alexnik, спасибо за наводку. Сам недогадался. Все правила прописались

  13. #13
    Quote Originally Posted by alexnik View Post
    Все в прошивке есть, просто ipt_recent не запушен.
    insmod ipt_recent тебе поможет.
    Для использования правила в post-firewall-е добавить эту строчку в post-boot.
    и заменить $WAN на $1
    я правильно понимаю, что надо
    а) добавить в post-boot строчку в конце
    Code:
    insmod ipt_recent
    б) добавить в post-firewall две строчки в конце
    Code:
    iptables -t nat -I PREROUTING -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    где 1555 - порт ssh

    Чё та не работает нифига...
    Кто ещё не купил роутер?

  14. #14
    seeker
    именно так.
    Возможно не тот интерфейс подставляется в post-firewall-е.
    Code:
     iptables -L -v | grep SSH_ATTACKER
    что говорит?
    Last edited by alexnik; 17-01-2007 at 16:37.

  15. #15
    Code:
     25  1428 DROP       tcp  --  vlan1  any     anywhere             anywhere            state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
    Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединения

Page 1 of 21 12311 ... LastLast

Similar Threads

  1. Внимание! Безопасность Linux-based MIPSel роутеров!
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 129
    Last Post: 06-08-2019, 23:48

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •