neprihlásený Utorok, 26. novembra 2024, dnes má meniny Kornel
Na domácich užívateľov denne až 250 útokov len cez SSH, OpenWrt 18.06 zase odložený

Značky: bezpečnosťpripojenieČesko

DSL.sk, 28.7.2018


Na užívateľov domácich routerov smeruje denne až viac ako 250 pokusov o útok len na port 22 určený pre bezpečný vzdialený prístup protokolom SSH podporovaným na routeroch, rozličných sieťových zariadeniach a všeobecne Linuxe.

Na základe štatistík svojho projektu HaaS, Honeypot as a Service, to aktuálne tvrdí české združenie CZ.NIC okrem iného spravujúce aj českú národnú doménu .cz.

CZ.NIC tiež predáva svoje routery Turris vrátane komerčne úspešného Omnia a projekt HaaS je realizovaný práve najmä s pomocou užívateľov tohto routera. Cieľom projektu je analyzovať situáciu s bezpečnostnými útokmi na Internete, pričom projekt spustený na prelome rokov sa zameriava v súčasnosti len na útoky na port 22 využívaný pre SSH.

Zapojení užívatelia majú nainštalovaný na routeri prípadne počítači proxy server počúvajúci na porte 22, ktorý následne preposiela všetku komunikáciu na servery projektu za účelom analýzy útokov. Analyzujú sa okrem iného spôsoby pokusov o prihlasovanie, spúšťané príkazy, sťahované dáta a ďalšia sieťová komunikácia.


Priemerný počet útokov na deň a užívateľa podľa jednotlivých mesiacov, kliknite pre zväčšenie (graf: CZ.NIC)



Početnosť a typ útokov závisí okrem iného na krajine užívateľa, využívanom IP rozsahu prípadne operátorovi, prípadne aj type využívaného zariadenia pri dlhšie nemenenej IP adrese a špeciálne na tom, či na danom porte beží dostupná služba. Ak je na porte dostupná služba, rozličné útočiace počítače a botnety môžu opakovať pokus o pripojenie a infikovanie a počet pripojení na IP s využívaným cieľovým portom za dlhšie časové obdobie je zrejme vyšší ako v prípade nevyužívaného portu.

HaaS má viac ako dvetisíc zapojených užívateľov, CZ.NIC ale presnejšie necharakterizuje o akých užívateľov ide a aké pripojenia využívajú. Približne tri štvrtiny sú ale užívateľmi routerov Turris, ktoré zrejme využívajú najmä domáci užívatelia alebo malé firmy na bežných pevných pripojeniach určených aj pre domácnosti. Turris má mnoho užívateľov aj mimo ČR, CZ.NIC ale projekt zrejme propaguje najmä v Českej republike a predpokladane tak veľká časť užívateľov využíva české IP na pripojeniach pre domácnosti.

Štatistiky za útok klasifikujú každé pripojenie na port 22, pričom denne sa podľa mesiaca od januára do mája tento počet pohyboval medzi 185 až 280 na užívateľa. Nie každé pripojenie na port 22 je nutne útokom, keď za časť pripojení môžu byť zodpovedné napríklad skeny bezpečnostnými spoločnosťami analyzujúcimi stav zariadení. V prípade portu 22 ale takéto iné účely tvoria zrejme len menšiu časť pripojení.

Či zaznamenávajú alebo by zaznamenávali slovenské IP podobný počet útokov pri takejto konfigurácii honeypotu nie je jasné.

V každom prípade celkový počet pokusov o útok na domáce pripojenia a zariadenia je výrazne vyšší ako iba útoky na port 22, keď útoky sa snažia napádať okrem iného aj často deravé webové rozhrania routerov a ďalšie služby na ďalších portoch.

V posledných rokoch sa bezpečnosť štandardných domácich routerov ukázuje ako žalostná s množstvom bezpečnostných chýb alebo dokonca zadných vrátok a laxným prístupom k ich plátaniu, jedným z riešení pre užívateľov tak môže byť inštalácia aktívne vyvíjaného open source firmvéru OpenWrt podporovaného na množstve modelov.

Hoci samozrejme ani u OpenWrt nie je garantovaná bezpečnosť a absencia bezpečnostných chýb, na rozdiel od zanedbávanej bezpečnosti vo firmvéroch výrobcov domácich routerov je OpenWrt pravidelne aktualizovaný a známe chyby sú promptne opravované. Chyby v jednotlivých softvéroch sa navyše dajú opravovať inštalovaním nových verzií balíčkov namiesto potrebného upgradu celého firmvéru.

U OpenWrt sa nedá vylúčiť o niečo väčšie riziko znefunkčnenia routeru pri nahrávaní firmvéru a realizovať takúto činnosť je odporúčané len skúseným užívateľom akceptujúcim toto riziko, na druhej strane pri dnešných cenách lacnejších routerov aj takéto prípadné a určite nie časté incidenty pre veľkú časť užívateľov zrejme nepredstavujú závažný problém.

Projekt v súčasnosti pripravuje po viac ako roku po odštiepenej verzii LEDE 17.01 a opätovnom spojení projektov novú hlavnú verziu 18.06, ktorá mala byť pôvodne sprístupená už na konci júna ale bola viackrát odložená. Naposledy mala byť vydaná včera 27. júla, termín bol ale opäť posunutý tentokrát na utorok 31. júla.


      Zdieľaj na Twitteri



Najnovšie články:

NASA si objednala vypustenie helikoptéry na Titan, od SpaceX
Notebookov s novým Snapdragonom sa malo predať iba 720-tisíc
Ceny RAM by v 2025 mohli klesnúť, odhadujú analytici
Štátna zaručená konverzia dokumentov má zase výpadok
O2 zvyšuje ceny programov Radosť - aktualizácia 1
Raspberry Pi má nový model, Raspberry Pi Pico 2 W
Japonci uviedli ethernetový kábel s magnetickým konektorom
Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft


Diskusia:
                               
 

Viete niekto poradit dobry Wifi router tak do 50E na ktorom bude fungovat OpenWRT, s moznostou prioritizovat latenciu(ping)?


Odpovedať Známka: 0.9 Hodnotiť:
 

Kup mikrotik, nemá to openwrt, ale da sa tam nastaviť čokoľvek
Odpovedať Známka: 4.0 Hodnotiť:
 

absolutna pravda, takmer cokolvek, az ma z toho bolela hlava... som len chcel OpenVPN na nom rozchodit a tu miliardu nastaveni co som musel prejst, skoro som sa posral...
Odpovedať Známka: 4.2 Hodnotiť:
 

Co si tam vobec riesil s OpenVPN ze ta az hlava bolela? Ved Mikrotik ma velmi okliestenu implementaciu OpenVPN, ktora ani UDP nepozna.
Odpovedať Známka: 1.4 Hodnotiť:
 

Pri konfiguracii mikrotiku sa zasadne sedi na záchode aby si sa neposral.
Odpovedať Známka: 6.9 Hodnotiť:
 

Microtik urcite nie, jedine vyssiu radu ale tam sa bavime od 200€, tie lacne su smejdy nevedia nic viac ako OpenWRT napr v nejakom Tplinku.
Odpovedať Známka: 6.0 Hodnotiť:
 

Tak tak, radsej nieco stredne narocne...

Mozte niekto poradit kto uz rozchodil na beznom 20-40E routri OpenWrt?

Znacku a model pripadne aj link na eshop...
Odpovedať Hodnotiť:
 

Na tomto bezi OpenWRT krasne. Samozrejme, len na take domace zutie, 5-10 klientov.
https://lnk.sk/mBZ2
Odpovedať Hodnotiť:
 

A funguje tam aj ta anti bufferbloat funkcia?

Ide mi o co najlepsiu LATENCIU aj pri viacerych pouzivateloch...
Odpovedať Hodnotiť:
 

mne bezi na tomto Zyxel NBG6616
Odpovedať Hodnotiť:
 

Ved OpenWrt mozes dat aj na MIKROTIK.

https://openwrt.org/ toh/start?dataflt%5BBrand*~%5D=mikrotik

Odpovedať Hodnotiť:
 

Samozrejme. V ramci platenej premiovej podpory je to len jedna z mnohych priekazne uzitocnych informacii.
Odpovedať Známka: -6.7 Hodnotiť:
 

ak chces dobry tak nesetri a kup si cisco
Odpovedať Známka: -6.0 Hodnotiť:
 

domaci router s interportovym firewallom za 3k, taky bezny pre kazdu domacnost
Odpovedať Známka: 9.2 Hodnotiť:
 

Mozno nie kazdu, ale aka je bez neho hodnota dvojmetroveho plota okolo baraku, aby okoloiduci necumeli do okien?
Odpovedať Známka: 1.1 Hodnotiť:
 

Väčšia ako cena žalúzií :)
Odpovedať Známka: 10.0 Hodnotiť:
 

A celkovy rozdiel ceny takeho riesenia v porovnaní s domom bez okien?
Odpovedať Známka: 3.3 Hodnotiť:
 

$ for d in `seq 22 27`; do grep -c "Jul $d .* sshd.*Invalid user" /var/log/auth.log ; done
86
58
142
80
46
94

Odpovedať Známka: 8.2 Hodnotiť:
 

Cize kebyze by napriklad nejaky poskytovatel ponukal akoze neobmedzeny internet(,) a udaje v logoch by so statistikou nesedeli, bola by v ramci dokazovacieho konania pre zakaznikov priekazne mimoriadne relevantna.
Odpovedať Známka: -5.4 Hodnotiť:
 

Zdá sa, že ti tam nejaké slovo.
Odpovedať Známka: 7.8 Hodnotiť:
 

Ze Oraclu nesedi forecast ale moj problem priekazne nie je.
Odpovedať Známka: 2.0 Hodnotiť:
 

Mam server na verejnej IP a zamerne neblokujem pristup na port 22. Statistiky "utokov" na port 22 za 1 rok:
Pokusy o pripojenie: 383562
Jedinecne IP vzdialenych serverov: 16966
Skusane jedinecne usernames: 16268

Ktore sposoby ochrany SSH servera pouzivate ?
- firewall - povolenie iba konkretnych IP
- prihlasovanie iba klucom
- celkovy zakaz prihlasenia sa root uctom
- pouzitie ineho portu ako 22




Odpovedať Známka: 7.8 Hodnotiť:
 

Nie je to ochrana, ale pouzivam iny port ako 22. Hlavne preto, ze to hned spravi poriadok v logoch a pocet neopravnenych pokusov o pripojenie klesol na 1-2 za rok.

Davnejsie som pouzival na roznych serveroch kombinacie:
- port knocking
- pristup len z niekolkych doveryhodnych adries (firma, VPN, domaca adresa)
- gatekeeper s multifaktorovym overenim
- zakaz SSH a len lokalny login
- mail pri kazdom logine
Odpovedať Známka: 5.0 Hodnotiť:
 

ja mam Turris Omnia, pristup na SSH mam len z lokalnej siete, alebo cez OpenVPN.
Honeypot mam vypnuty.
WiFi SSID mam skryte.
Odpovedať Známka: 2.0 Hodnotiť:
 

A preco si nedas napr. Fail2ban, pekne zabanuje IP a viac neotravuju. Z 3000 denne mi kleslo na 100 pokusov o login.
Odpovedať Známka: 10.0 Hodnotiť:
 

Doma od urcitej doby mam pozatvarane vsetko, co skutocne nepotrebujem. 22, FTP, kadeaky forwardy na vnutorne zariadenia (NAS, Klima, std.). Vsetko som zacal riesit VPN pripojenim. Je to mozno par klikov naviac, ale riziko sa celkom zmensuje.
Odpovedať Hodnotiť:
 

No ja som pouzival fail2ban a tych banov bolo kazdy den vela (default port 22), ale od nejakej verzie opensuse fail2ban nefungoval. V najnovsej som este neskusal.

Tak som zmenil ssh port na napr. 2290 a ziadne utoky zrazu neboli. Samozrejme je to len security by obscurity, ale fakt to eliminuje drvivu vacsinu problemov :D

Odpovedať Hodnotiť:
 

tu prikladam screenshot z honeypotu bruteforce utoky za posledne dni na nasu infrastrukturu
https://dopice.sk/lKi
Odpovedať Známka: 10.0 Hodnotiť:
 

to ked si na omnii zapnes honeypot, tak mas takyto dashboard?
Odpovedať Známka: 10.0 Hodnotiť:
 

ano
Odpovedať Známka: 7.1 Hodnotiť:
 

nevidim tam nbusr123
Odpovedať Známka: 10.0 Hodnotiť:
 

na môj FreeBSD server útočia denne zo stoviek rôznych IP. Po troch neúspešných prihláseniach ich posielam http://dopice.sk pomocou fail2ban.
Odpovedať Známka: 10.0 Hodnotiť:
 

Blacklistd je lepsia alternativa a je to integrovane s pf.
Odpovedať Hodnotiť:
 

a kolko IP mas vo whiteliste po roku? :)
Odpovedať Známka: 10.0 Hodnotiť:
 

OpenWrt ide v pohode aj na dvackovom TP-LINK TL-WR841N
Odpovedať Hodnotiť:

Pridať komentár