Page 2 of 21 FirstFirst 123412 ... LastLast
Results 16 to 30 of 310

Thread: Безопасность SSH (dropbear)

  1. 18-01-2007, 14:13 #16
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    Code:
     25  1428 DROP       tcp  --  vlan1  any     anywhere             anywhere            state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
    Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединения
    соединение vpn - ppp0. вот что говорит
    Code:
        0     0 DROP       tcp  --  ppp0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
H_ATTACKER side: source
    нужно что бы защита работала со стороны wan независимо от того, атакуют ли из нета через впн или из локалки со внешней стороны.
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  2. 18-01-2007, 16:10 #17
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    Reply With Quote Reply With Quote
  3. 18-01-2007, 16:16 #18
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    а что означает $3?
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  4. 18-01-2007, 18:23 #19
    midya
    midya is offline Senior Member
    Join Date
    Aug 2006
    Posts
    392

    Wink

    Quote Originally Posted by seeker View Post
    а что означает $3?
    Это сколько Вы задолжали форуму за советы=)))
    Reply With Quote Reply With Quote
  5. 18-01-2007, 18:40 #20
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    в результате этих строк ssh теперь всегда посылает меня даже с лана
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  6. 19-01-2007, 09:17 #21
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    Quote Originally Posted by seeker View Post
    а что означает $3?
    $3 это lan интерфейс, должно подставиться br0.

    в результате этих строк ssh теперь всегда посылает меня даже с лана
    на 22 порт?
    Reply With Quote Reply With Quote
  7. 19-01-2007, 21:07 #22
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    проще всего сделать так
    Code:
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    вобщем добавление данных строчек не помогло - коннектится пытаться можно сколько угодно с вана.
    вот что говорит
    iptables -L -v | grep SSH_ATTACKER
    Code:
        0     0 DROP       tcp  --  !br0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
H_ATTACKER side: source
    0     0            tcp  --  !br0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: SET name: SSH_ATTACKER side: source
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  8. 19-01-2007, 21:44 #23
    black_128
    black_128 is offline www.notebook-sales.ru
    Send a message via ICQ to black_128
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157
    Сделайте проще:
    ---

    #!/bin/sh
    ## WEB,SSH and FTP access from WAN
    ## Set default policy
    iptables -P INPUT DROP
    ## Removes last default rule
    iptables -D INPUT -j DROP
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP
    Reply With Quote Reply With Quote
  9. 20-01-2007, 14:50 #24
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    Quote Originally Posted by seeker View Post
    вобщем добавление данных строчек не помогло - коннектится пытаться можно сколько угодно с вана.
    вот что говорит
    iptables -L -v | grep SSH_ATTACKER
    Code:
        0     0 DROP       tcp  --  !br0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS
H_ATTACKER side: source
    0     0            tcp  --  !br0   any     anywhere             anywhere
       state NEW tcp dpt:https recent: SET name: SSH_ATTACKER side: source
    А перенаправлаешь 1555 через прероутинг? если да тогда порт должен быть порт для правил должен быть 22.
    Reply With Quote Reply With Quote
  10. 20-01-2007, 14:56 #25
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    Quote Originally Posted by black_128 View Post
    Сделайте проще:
    ---

    #!/bin/sh
    ## WEB,SSH and FTP access from WAN
    ## Set default policy
    iptables -P INPUT DROP
    ## Removes last default rule
    iptables -D INPUT -j DROP
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log
    это тоже самое, что обсуждается. только в цепочке сразу задается все. И наружу открывается 22 порт.
    Кстати, если кто-то хочет логировать отвергнутые попытки, рекомендую не использовать logdrop, а взять правило с ограничением лога, как в коде. Лог не так разбухать будет.
    Reply With Quote Reply With Quote
  11. 20-01-2007, 18:34 #26
    seeker
    seeker is offline Member
    Join Date
    Apr 2006
    Posts
    56
    Quote Originally Posted by alexnik View Post
    А перенаправлаешь 1555 через прероутинг? если да тогда порт должен быть порт для правил должен быть 22.
    вот post-firewall
    Code:
    iptables -D INPUT -j DROP
iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1555 -j DNAT --to-destination 192.168.1.1:22
iptables -A INPUT -j DROP
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    пробовал менять последние две строчки - вместо 1555 поставил 22 и перезапустил роутер - по крайней мере с лана пускает скока угодно также, исо стороны вана пока проверить не могу.
    Кто ещё не купил роутер?
    Reply With Quote Reply With Quote
  12. 21-01-2007, 03:04 #27
    GearST
    GearST is offline Senior Member
    Join Date
    Oct 2006
    Posts
    112
    я вот все слежу за темой когда же народ найдет оптимальное решение =)
    но всеже захотел разобраться что есть это? :
    Code:
    ## Open FTP,SSH,WWW ports
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
## Block SSH brute force attacks
iptables -N brute_force
iptables -F brute_force
iptables -A brute_force -m state --state NEW -m recent --name attack --set
iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
iptables -A brute_force -j ACCEPT
## Drop other IPs
iptables -A INPUT -j DROP
    конкретно как работает ## Block SSH brute force attacks что там собственно задается то, а то конешно можно тупо вписать и не париться но хотелось бы знать как оно работает =)
    Reply With Quote Reply With Quote
  13. 21-01-2007, 14:21 #28
    black_128
    black_128 is offline www.notebook-sales.ru
    Send a message via ICQ to black_128
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157
    Чтобы расшифровать что и как работает, посмотрите описание комманды iptables в интернете.

    Что касается строчек ##Block brute force, то данные инструкции блокируют входящие обращения, с частотой больше 4-х в течении одной минуты. Блокируется отправитель также на одну минуту.

    Это позволит отсеить массу роботов.
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP
    Reply With Quote Reply With Quote
  14. 22-01-2007, 15:54 #29
    alexnik
    alexnik is offline Member
    Join Date
    Oct 2005
    Posts
    34
    Quote Originally Posted by seeker View Post

    пробовал менять последние две строчки - вместо 1555 поставил 22 и перезапустил роутер - по крайней мере с лана пускает скока угодно также, исо стороны вана пока проверить не могу.
    ну со стороны лана тоже можно проверить убрав -i ! $3.

    GearST
    В общем есть match recent который позволяет маркировать пакеты.

    --rcheck --seconds x --hitcount y

    проверяет за интервал времени x наличие y пакетов и в случае успеха выполняет действие. соответсвено за промежуток времени пропускается y-1 маркированый пакет пакет.
    Reply With Quote Reply With Quote
  15. 22-01-2007, 20:07 #30
    black_128
    black_128 is offline www.notebook-sales.ru
    Send a message via ICQ to black_128
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157

    Thumbs down Хакеры взломали роутер? Посмотрим логи...

    Доброго времени суток!
    Ребята, с недавнего времени возниклы некие вопросы по непонятному поведению роутера. Роутер работает прекрасно с сетью netbynet.ru, работает SAMBA, dropbear, ftp и WWW. Домашняя сеть состоит из 2х компьютеров - ноутбука во WiFi и системника по Ethernet кабелю.

    После установки SSH (dropbear) и открытию порта 22 наружу (телнет отключён раз 22й открыт), начали ломиться и брутфорсить 22й порт - ну да ладно, я сделал post-firewall:

    Code:
    #!/bin/sh
## WEB,SSH and FTP access from WAN
## Set default policy
iptables -P INPUT DROP
## Removes last default rule
iptables -D INPUT -j DROP
## Open FTP,SSH,WWW ports
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
## Block SSH brute force attacks
iptables -N brute_force
iptables -F brute_force
iptables -A brute_force -m state --state NEW -m recent --name attack --set
iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
iptables -A brute_force -j ACCEPT
## Drop other IPs
iptables -A INPUT -j DROP
#Test for post-firewall.log
echo "post-firewall running...">/var/log/post-firewall.log
    Ломиться на 22й порт перестали. НО! я заметил, что заходя по SSH, директории появились масса файлов с настройками, которые я никогда не прописывал ручками.
    Вот скриншот файлов:



    Причем внутри скажем файла filter_rules можно увидеть следующее:

    Code:
    *filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
-A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
-A SECURITY -p udp -m limit --limit 5/s -j RETURN
-A SECURITY -p icmp -m limit --limit 5/s -j RETURN
-A SECURITY -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7776 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o ppp0 ! -i br0 -j DROP
-A FORWARD -o vlan1 ! -i br0 -j DROP
-A FORWARD ! -i br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
    Причем никаких портов 7777 и 7776 я не задавал. И WEB камеры у меня нет.

    В логе стали появляться сообщения (обратите внимание на количество посланный и принятых байт).

    Code:
    Jan 22 11:53:38 pppd[112]: Child process /usr/sbin/pptp 10.7.255.249 --nolaunchpppd (pid 443) terminated with signal 15
Jan 22 11:53:38 pppd[112]: Modem hangup
Jan 22 11:53:38 pppd[112]: Connection terminated.
Jan 22 11:53:38 pppd[112]: Connect time 59.0 minutes.
Jan 22 11:53:38 pppd[112]: Sent 19494331 bytes, received 215195095 bytes.
Jan 22 11:53:38 pppd[112]: Connect time 59.0 minutes.
Jan 22 11:53:38 pppd[112]: Sent 19494331 bytes, received 215195095 bytes.
Jan 22 11:53:38 pppd[112]: Exit.

Jan 22 04:54:39 pppd[112]: Starting link
Jan 22 04:54:39 pppd[112]: Serial connection established.
Jan 22 04:54:39 pppd[112]: Connect: ppp0 <--> /dev/pts/0
Jan 22 04:54:39 pptp[390]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated 
Jan 22 04:54:39 pptp[393]: anon warn[route_add:pptp_callmgr.c:457]: route_add: not adding existing route
Jan 22 04:54:39 pptp[393]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request' 
Jan 22 04:54:39 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:732]: Received Start Control Connection Reply
Jan 22 04:54:39 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:766]: Client connection established.
Jan 22 04:54:40 pptp[393]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request' 
Jan 22 04:54:40 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:851]: Received Outgoing Call Reply.
Jan 22 04:54:40 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:890]: Outgoing call established (call ID 0, peer's call ID 32768). 
Jan 22 04:54:40 pppd[112]: MPPE 128-bit stateless compression enabled
Jan 22 04:54:43 pppd[112]: Remote IP address changed to 192.168.254.10
Jan 22 04:54:43 PPTP: connect to ISP
    Причем в это время (я знаю точно), компьютеры в локалке были выключены. Скажите, можно ли со всем этим разобраться, и что делать???

    Прошу Вас протестировать мою систему на предмет уязвимостей, и помочь закрыть от атак мой роутер.


    СПИСИБО!
    Last edited by black_128; 22-01-2007 at 20:56.
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP
    Reply With Quote Reply With Quote
Page 2 of 21 FirstFirst 123412 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Внимание! Безопасность Linux-based MIPSel роутеров!
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 129
    Last Post: 06-08-2019, 22:48

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules