Na domácich užívateľov denne až 250 útokov len cez SSH, OpenWrt 18.06 zase odložený

Značky: bezpečnosťpripojenieČesko

DSL.sk, 28.7.2018

Na užívateľov domácich routerov smeruje denne až viac ako 250 pokusov o útok len na port 22 určený pre bezpečný vzdialený prístup protokolom SSH podporovaným na routeroch, rozličných sieťových zariadeniach a všeobecne Linuxe.

Na základe štatistík svojho projektu HaaS, Honeypot as a Service, to aktuálne tvrdí české združenie CZ.NIC okrem iného spravujúce aj českú národnú doménu .cz.

CZ.NIC tiež predáva svoje routery Turris vrátane komerčne úspešného Omnia a projekt HaaS je realizovaný práve najmä s pomocou užívateľov tohto routera. Cieľom projektu je analyzovať situáciu s bezpečnostnými útokmi na Internete, pričom projekt spustený na prelome rokov sa zameriava v súčasnosti len na útoky na port 22 využívaný pre SSH.

Zapojení užívatelia majú nainštalovaný na routeri prípadne počítači proxy server počúvajúci na porte 22, ktorý následne preposiela všetku komunikáciu na servery projektu za účelom analýzy útokov. Analyzujú sa okrem iného spôsoby pokusov o prihlasovanie, spúšťané príkazy, sťahované dáta a ďalšia sieťová komunikácia.

Priemerný počet útokov na deň a užívateľa podľa jednotlivých mesiacov, kliknite pre zväčšenie (graf: CZ.NIC)

Početnosť a typ útokov závisí okrem iného na krajine užívateľa, využívanom IP rozsahu prípadne operátorovi, prípadne aj type využívaného zariadenia pri dlhšie nemenenej IP adrese a špeciálne na tom, či na danom porte beží dostupná služba. Ak je na porte dostupná služba, rozličné útočiace počítače a botnety môžu opakovať pokus o pripojenie a infikovanie a počet pripojení na IP s využívaným cieľovým portom za dlhšie časové obdobie je zrejme vyšší ako v prípade nevyužívaného portu.

HaaS má viac ako dvetisíc zapojených užívateľov, CZ.NIC ale presnejšie necharakterizuje o akých užívateľov ide a aké pripojenia využívajú. Približne tri štvrtiny sú ale užívateľmi routerov Turris, ktoré zrejme využívajú najmä domáci užívatelia alebo malé firmy na bežných pevných pripojeniach určených aj pre domácnosti. Turris má mnoho užívateľov aj mimo ČR, CZ.NIC ale projekt zrejme propaguje najmä v Českej republike a predpokladane tak veľká časť užívateľov využíva české IP na pripojeniach pre domácnosti.

Štatistiky za útok klasifikujú každé pripojenie na port 22, pričom denne sa podľa mesiaca od januára do mája tento počet pohyboval medzi 185 až 280 na užívateľa. Nie každé pripojenie na port 22 je nutne útokom, keď za časť pripojení môžu byť zodpovedné napríklad skeny bezpečnostnými spoločnosťami analyzujúcimi stav zariadení. V prípade portu 22 ale takéto iné účely tvoria zrejme len menšiu časť pripojení.

Či zaznamenávajú alebo by zaznamenávali slovenské IP podobný počet útokov pri takejto konfigurácii honeypotu nie je jasné.

V každom prípade celkový počet pokusov o útok na domáce pripojenia a zariadenia je výrazne vyšší ako iba útoky na port 22, keď útoky sa snažia napádať okrem iného aj často deravé webové rozhrania routerov a ďalšie služby na ďalších portoch.

V posledných rokoch sa bezpečnosť štandardných domácich routerov ukázuje ako žalostná s množstvom bezpečnostných chýb alebo dokonca zadných vrátok a laxným prístupom k ich plátaniu, jedným z riešení pre užívateľov tak môže byť inštalácia aktívne vyvíjaného open source firmvéru OpenWrt podporovaného na množstve modelov.

Hoci samozrejme ani u OpenWrt nie je garantovaná bezpečnosť a absencia bezpečnostných chýb, na rozdiel od zanedbávanej bezpečnosti vo firmvéroch výrobcov domácich routerov je OpenWrt pravidelne aktualizovaný a známe chyby sú promptne opravované. Chyby v jednotlivých softvéroch sa navyše dajú opravovať inštalovaním nových verzií balíčkov namiesto potrebného upgradu celého firmvéru.

U OpenWrt sa nedá vylúčiť o niečo väčšie riziko znefunkčnenia routeru pri nahrávaní firmvéru a realizovať takúto činnosť je odporúčané len skúseným užívateľom akceptujúcim toto riziko, na druhej strane pri dnešných cenách lacnejších routerov aj takéto prípadné a určite nie časté incidenty pre veľkú časť užívateľov zrejme nepredstavujú závažný problém.

Projekt v súčasnosti pripravuje po viac ako roku po odštiepenej verzii LEDE 17.01 a opätovnom spojení projektov novú hlavnú verziu 18.06, ktorá mala byť pôvodne sprístupená už na konci júna ale bola viackrát odložená. Naposledy mala byť vydaná včera 27. júla, termín bol ale opäť posunutý tentokrát na utorok 31. júla.




Najnovšie články:



Diskusia:

Dobry router Od: OpenWRT | Pridané: 28.7.2018 8:25 Viete niekto poradit dobry Wifi router tak do 50E na ktorom bude fungovat OpenWRT, s moznostou prioritizovat latenciu(ping)? Odpovedať Známka: 0.9 Hodnotiť:

Re: Dobry router Od: Patrik90 | Pridané: 28.7.2018 8:33 Kup mikrotik, nemá to openwrt, ale da sa tam nastaviť čokoľvek Odpovedať Známka: 4.0 Hodnotiť:

Re: Dobry router Od: hulalak | Pridané: 28.7.2018 10:52 absolutna pravda, takmer cokolvek, az ma z toho bolela hlava... som len chcel OpenVPN na nom rozchodit a tu miliardu nastaveni co som musel prejst, skoro som sa posral... Odpovedať Známka: 4.2 Hodnotiť:

Re: Dobry router Od: adsasdsa | Pridané: 28.7.2018 11:09 Co si tam vobec riesil s OpenVPN ze ta az hlava bolela? Ved Mikrotik ma velmi okliestenu implementaciu OpenVPN, ktora ani UDP nepozna. Odpovedať Známka: 1.4 Hodnotiť:

Re: Dobry router Od: fhkgf in vd | Pridané: 28.7.2018 22:50 Pri konfiguracii mikrotiku sa zasadne sedi na záchode aby si sa neposral. Odpovedať Známka: 6.9 Hodnotiť:

Re: Dobry router Od: ivan99 | Pridané: 29.7.2018 16:25 Microtik urcite nie, jedine vyssiu radu ale tam sa bavime od 200€, tie lacne su smejdy nevedia nic viac ako OpenWRT napr v nejakom Tplinku. Odpovedať Známka: 6.0 Hodnotiť:

Re: Dobry router Od: afsdff | Pridané: 30.7.2018 19:05 Tak tak, radsej nieco stredne narocne... Mozte niekto poradit kto uz rozchodil na beznom 20-40E routri OpenWrt? Znacku a model pripadne aj link na eshop... Odpovedať Hodnotiť:

Re: Dobry router Od: aasami | Pridané: 31.7.2018 8:00 Na tomto bezi OpenWRT krasne. Samozrejme, len na take domace zutie, 5-10 klientov. https://lnk.sk/mBZ2 Odpovedať Hodnotiť:

Re: Dobry router Od: dsafds | Pridané: 1.8.2018 16:44 A funguje tam aj ta anti bufferbloat funkcia? Ide mi o co najlepsiu LATENCIU aj pri viacerych pouzivateloch... Odpovedať Hodnotiť:

Re: Dobry router Od: canislupus | Pridané: 31.7.2018 12:05 mne bezi na tomto Zyxel NBG6616 Odpovedať Hodnotiť:

Re: Dobry router Od: Foter Loter | Pridané: 30.7.2018 11:32 Ved OpenWrt mozes dat aj na MIKROTIK. https://openwrt.org/ toh/start?dataflt%5BBrand*~%5D=mikrotik Odpovedať Hodnotiť:

Re: Dobry router Od: syntaxterrorX. XX | Pridané: 28.7.2018 8:37 Samozrejme. V ramci platenej premiovej podpory je to len jedna z mnohych priekazne uzitocnych informacii. Odpovedať Známka: -6.7 Hodnotiť:

Re: Dobry router Od: ______________________ | Pridané: 28.7.2018 13:48 ak chces dobry tak nesetri a kup si cisco Odpovedať Známka: -6.0 Hodnotiť:

Re: Dobry router Od: muhehe | Pridané: 28.7.2018 14:01 domaci router s interportovym firewallom za 3k, taky bezny pre kazdu domacnost Odpovedať Známka: 9.2 Hodnotiť:

ničivý praktik Od: syntaxterrorX. XX | Pridané: 28.7.2018 15:50 Mozno nie kazdu, ale aka je bez neho hodnota dvojmetroveho plota okolo baraku, aby okoloiduci necumeli do okien? Odpovedať Známka: 1.1 Hodnotiť:

Re: ničivý praktik Od: 33jkl33 | Pridané: 29.7.2018 11:28 Väčšia ako cena žalúzií :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ničivý praktik Od: syntaxterrorX. XX | Pridané: 29.7.2018 11:45 A celkovy rozdiel ceny takeho riesenia v porovnaní s domom bez okien? Odpovedať Známka: 3.3 Hodnotiť:

a ako u vás? Od: sensei-san | Pridané: 28.7.2018 12:36 $ for d in `seq 22 27`; do grep -c "Jul $d .* sshd.*Invalid user" /var/log/auth.log ; done 86 58 142 80 46 94 Odpovedať Známka: 8.2 Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorX. XX | Pridané: 28.7.2018 14:01 Cize kebyze by napriklad nejaky poskytovatel ponukal akoze neobmedzeny internet(,) a udaje v logoch by so statistikou nesedeli, bola by v ramci dokazovacieho konania pre zakaznikov priekazne mimoriadne relevantna. Odpovedať Známka: -5.4 Hodnotiť:

Re: ultraradikalny optimizmus Od: sensei-san | Pridané: 28.7.2018 18:59 Zdá sa, že ti tam nejaké slovo. Odpovedať Známka: 7.8 Hodnotiť:

ničivý teoretik Od: syntaxterrorX. XX | Pridané: 28.7.2018 20:48 Ze Oraclu nesedi forecast ale moj problem priekazne nie je. Odpovedať Známka: 2.0 Hodnotiť:

Server Od: Ador | Pridané: 28.7.2018 13:41 Mam server na verejnej IP a zamerne neblokujem pristup na port 22. Statistiky "utokov" na port 22 za 1 rok: Pokusy o pripojenie: 383562 Jedinecne IP vzdialenych serverov: 16966 Skusane jedinecne usernames: 16268 Ktore sposoby ochrany SSH servera pouzivate ? - firewall - povolenie iba konkretnych IP - prihlasovanie iba klucom - celkovy zakaz prihlasenia sa root uctom - pouzitie ineho portu ako 22 Odpovedať Známka: 7.8 Hodnotiť:

Re: Server Od: Assgff | Pridané: 28.7.2018 15:21 Nie je to ochrana, ale pouzivam iny port ako 22. Hlavne preto, ze to hned spravi poriadok v logoch a pocet neopravnenych pokusov o pripojenie klesol na 1-2 za rok. Davnejsie som pouzival na roznych serveroch kombinacie: - port knocking - pristup len z niekolkych doveryhodnych adries (firma, VPN, domaca adresa) - gatekeeper s multifaktorovym overenim - zakaz SSH a len lokalny login - mail pri kazdom logine Odpovedať Známka: 5.0 Hodnotiť:

Re: Server Od: omnia | Pridané: 28.7.2018 19:20 ja mam Turris Omnia, pristup na SSH mam len z lokalnej siete, alebo cez OpenVPN. Honeypot mam vypnuty. WiFi SSID mam skryte. Odpovedať Známka: 2.0 Hodnotiť:

Re: Server Od: ivan99 | Pridané: 29.7.2018 16:41 A preco si nedas napr. Fail2ban, pekne zabanuje IP a viac neotravuju. Z 3000 denne mi kleslo na 100 pokusov o login. Odpovedať Známka: 10.0 Hodnotiť:

Re: Server Od: sandisxxx | Pridané: 30.7.2018 9:51 Doma od urcitej doby mam pozatvarane vsetko, co skutocne nepotrebujem. 22, FTP, kadeaky forwardy na vnutorne zariadenia (NAS, Klima, std.). Vsetko som zacal riesit VPN pripojenim. Je to mozno par klikov naviac, ale riziko sa celkom zmensuje. Odpovedať Hodnotiť:

Re: Server Od reg.: M.Miiicho | Pridané: 30.7.2018 12:01 No ja som pouzival fail2ban a tych banov bolo kazdy den vela (default port 22), ale od nejakej verzie opensuse fail2ban nefungoval. V najnovsej som este neskusal. Tak som zmenil ssh port na napr. 2290 a ziadne utoky zrazu neboli. Samozrejme je to len security by obscurity, ale fakt to eliminuje drvivu vacsinu problemov :D Odpovedať Hodnotiť:

utoky Od: zdzdz | Pridané: 28.7.2018 19:19 tu prikladam screenshot z honeypotu bruteforce utoky za posledne dni na nasu infrastrukturu https://dopice.sk/lKi Odpovedať Známka: 10.0 Hodnotiť:

Re: utoky Od: omnia | Pridané: 28.7.2018 19:21 to ked si na omnii zapnes honeypot, tak mas takyto dashboard? Odpovedať Známka: 10.0 Hodnotiť:

Re: utoky Od: Czcz | Pridané: 28.7.2018 19:47 ano Odpovedať Známka: 7.1 Hodnotiť:

Re: utoky Od: anemasto | Pridané: 29.7.2018 10:08 nevidim tam nbusr123 Odpovedať Známka: 10.0 Hodnotiť:

..... Od: Jamicon | Pridané: 28.7.2018 20:22 na môj FreeBSD server útočia denne zo stoviek rôznych IP. Po troch neúspešných prihláseniach ich posielam http://dopice.sk pomocou fail2ban. Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: Lavy jozko | Pridané: 29.7.2018 10:08 Blacklistd je lepsia alternativa a je to integrovane s pf. Odpovedať Hodnotiť:

Re: ..... Od: anemasto | Pridané: 29.7.2018 10:08 a kolko IP mas vo whiteliste po roku? :) Odpovedať Známka: 10.0 Hodnotiť:

TP-LINK TL-WR841N Od: otofon | Pridané: 31.7.2018 9:23 OpenWrt ide v pohode aj na dvackovom TP-LINK TL-WR841N Odpovedať Hodnotiť:

Pridať komentár