הדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ
-
בעקבות פוסט שראיתי במקום אחר עם המסמך המצורף עלה בדעתי להשקיע קצת באבטחה של השרת
כרגע יש לי כבר חומת אש קודם כל בהצנר שחוסם את כל הפורטים חוץ מ80,443 ועוד אחד לSSH (שפתוחה רק לIP שלי ורק עם מפתח SSH) ואחד לוובמין
יש לי גם חומת אש בשרת שחוסמת נסיונות כושלים וכו'
אבל כמובן שאני עדיין רואה סריקות כל הזמן שמנסים להיכנס
מחפירה קצת עלה לי שיש כמה אפשרויות:- Port Knocking
- ICMP Knocking
- FWKnop
- WireGuard VPN
הסיפור הוא שאני רוצה כמו שכתבתי בכותרת שלא יהיה מצב שאם המחשב שלי ייאבד/יישבר או שפשוט אהיה במקום אחר בלי המחשב שלי והIP לא - שאז אתקע מחוץ לשרת ללא יכולת כניסה
אז השאלה מה מתוכם אקטואלי לי
הבנתי שWireGuard VPN זה משהו ממש חזק כי הפורטים לא גלויים וכל התקשורת מוצפנת, השאלה היא איך אפשר לשלב את זה עם אפשרות כניסה ללא המחשב שליאשמח לעזרה אבל אשמח שזה יהיה במילים ובמונחים פשוטות שיהיו מובנות גם לדוברי עברית כמוני...
-
בעקבות פוסט שראיתי במקום אחר עם המסמך המצורף עלה בדעתי להשקיע קצת באבטחה של השרת
כרגע יש לי כבר חומת אש קודם כל בהצנר שחוסם את כל הפורטים חוץ מ80,443 ועוד אחד לSSH (שפתוחה רק לIP שלי ורק עם מפתח SSH) ואחד לוובמין
יש לי גם חומת אש בשרת שחוסמת נסיונות כושלים וכו'
אבל כמובן שאני עדיין רואה סריקות כל הזמן שמנסים להיכנס
מחפירה קצת עלה לי שיש כמה אפשרויות:- Port Knocking
- ICMP Knocking
- FWKnop
- WireGuard VPN
הסיפור הוא שאני רוצה כמו שכתבתי בכותרת שלא יהיה מצב שאם המחשב שלי ייאבד/יישבר או שפשוט אהיה במקום אחר בלי המחשב שלי והIP לא - שאז אתקע מחוץ לשרת ללא יכולת כניסה
אז השאלה מה מתוכם אקטואלי לי
הבנתי שWireGuard VPN זה משהו ממש חזק כי הפורטים לא גלויים וכל התקשורת מוצפנת, השאלה היא איך אפשר לשלב את זה עם אפשרות כניסה ללא המחשב שליאשמח לעזרה אבל אשמח שזה יהיה במילים ובמונחים פשוטות שיהיו מובנות גם לדוברי עברית כמוני...
@ששא אם לחברה שלך יש קונסול באתר שדרכו ניתן לגשת לשרת
במקרה. קיצוני שתיהיה בלי גישה למחשב שלך
תוכל לגשת דרך הקונסולה ולהתיר את הip שבו תיהיה או לבצע את הפעולה מהקונסולה -
@ששא אם לחברה שלך יש קונסול באתר שדרכו ניתן לגשת לשרת
במקרה. קיצוני שתיהיה בלי גישה למחשב שלך
תוכל לגשת דרך הקונסולה ולהתיר את הip שבו תיהיה או לבצע את הפעולה מהקונסולה@A0533057932 תודה על המענה
יש לי הצנר ויש שם קונסול
אתה מדבר על כל השיטות?
אכן WireGuard VPN הכי עדיף? או משהו אחר?
אתה יכול קצת יותר להרחיב לי על זה? והאם זה יעבוד בנטפרי? (VPN נשמע משהו שלא נפגש עם נטפרי, לא?) -
משום מה לא מציעים לעבוד עם UDP.
בTCP אין אפשרות "להאזין" בלי שמישהו יראה - בכלים פשוטים. להאזין לSYN זה קצת יותר מורכב.
אבל לUDP אפשרות בקלות רבה. וגם לשלוח pakcet UDP זה קל.
אפשר בקלות לעשות שרות שמאזין ומקבל איזה נתון ומחליט לפתוח בfw את הפורט שבו הssh.
כמובן שאת בעיות הmitm שהזכירו שם צריך לחשוב איך לפתור עם הpayload, אבל הבסיס קל ליישום.
אגב ברוב המקרים זה מיותר, וסריקות לא צריכות להפחיד מדי. -
משום מה לא מציעים לעבוד עם UDP.
בTCP אין אפשרות "להאזין" בלי שמישהו יראה - בכלים פשוטים. להאזין לSYN זה קצת יותר מורכב.
אבל לUDP אפשרות בקלות רבה. וגם לשלוח pakcet UDP זה קל.
אפשר בקלות לעשות שרות שמאזין ומקבל איזה נתון ומחליט לפתוח בfw את הפורט שבו הssh.
כמובן שאת בעיות הmitm שהזכירו שם צריך לחשוב איך לפתור עם הpayload, אבל הבסיס קל ליישום.
אגב ברוב המקרים זה מיותר, וסריקות לא צריכות להפחיד מדי.@5566brs כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:
משום מה לא מציעים לעבוד עם UDP.
בTCP אין אפשרות "להאזין" בלי שמישהו יראה - בכלים פשוטים. להאזין לSYN זה קצת יותר מורכב.
אבל לUDP אפשרות בקלות רבה. וגם לשלוח pakcet UDP זה קל.
אפשר בקלות לעשות שרות שמאזין ומקבל איזה נתון ומחליט לפתוח בfw את הפורט שבו הssh.ביקשתי בעברית...
אשמח שתכתוב קצת יותר מובן לאנשים כמוני
לא בדיוק הבנתי, אבל זה לא בעצם הדרך שWireGuard VPN עובד? -
@5566brs כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:
משום מה לא מציעים לעבוד עם UDP.
בTCP אין אפשרות "להאזין" בלי שמישהו יראה - בכלים פשוטים. להאזין לSYN זה קצת יותר מורכב.
אבל לUDP אפשרות בקלות רבה. וגם לשלוח pakcet UDP זה קל.
אפשר בקלות לעשות שרות שמאזין ומקבל איזה נתון ומחליט לפתוח בfw את הפורט שבו הssh.ביקשתי בעברית...
אשמח שתכתוב קצת יותר מובן לאנשים כמוני
לא בדיוק הבנתי, אבל זה לא בעצם הדרך שWireGuard VPN עובד?@ששא
לא מכיר את wireGuard.
VPN באופן כללי זה שיטה איך לחבר מחשב מרוחק לרשת מקומית.
ברשת הפנימית יש משאבים שזמינים רק למחשבים הפנימיים, והמטרה היא ליישם מנגנון שאחרי הזדהות מוצלחת, המחשב המרוחק יהיה כמו מחשב שנמצא בתוך הרשת.זה בדרך כלל מורכב ולא משהו ש"ממציאים לבד", ויש גם כמה סוגים. שימוש בזה מחייב התקנת תוכנה בשני הצדדים (לכה"פ אם משתמשים ספציפית בwireGuard).
אז גם במחשב שמתיישבים עליו לרגע לא כזה קל להתחבר.אם הפורט של הSSH הוא לא 22 כבר פתרנו הרבה בעיות, ואם הכניסה היא עם key בלבד אז רוב הבעיות נפתרו מלבד פירצות 0day (חולשות בפרוטוקול או בsshd שאיש אינו יודע עליהן).
אם פתוח רק עבור הIP שלך (וכל אלו שאיתך על אותו IP באדיבות הספק..) אז הסיכויים שמשהו יקרה הם אפסיים (בהנחה שהכל הוגדר נכון).
נשאר רק להוסיף מנגנון שיאפשר לך במקרה SOS כניסה מIP נוסף. כדאי לדאוג לגיבוי לkey...
ועכשיו רק נשאר לנחש מי רודף אחריך
-
כבר כתבתי את זה בכמה מקומות, די בביטול הסיסמה והגדרת מפתח פרטי (כפי שכתב מצטרף @5566brs), הפעלת החומת אש וזהו.
- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
בעקבות פוסט שראיתי במקום אחר עם המסמך המצורף עלה בדעתי להשקיע קצת באבטחה של השרת
כרגע יש לי כבר חומת אש קודם כל בהצנר שחוסם את כל הפורטים חוץ מ80,443 ועוד אחד לSSH (שפתוחה רק לIP שלי ורק עם מפתח SSH) ואחד לוובמין
יש לי גם חומת אש בשרת שחוסמת נסיונות כושלים וכו'
אבל כמובן שאני עדיין רואה סריקות כל הזמן שמנסים להיכנס
מחפירה קצת עלה לי שיש כמה אפשרויות:- Port Knocking
- ICMP Knocking
- FWKnop
- WireGuard VPN
הסיפור הוא שאני רוצה כמו שכתבתי בכותרת שלא יהיה מצב שאם המחשב שלי ייאבד/יישבר או שפשוט אהיה במקום אחר בלי המחשב שלי והIP לא - שאז אתקע מחוץ לשרת ללא יכולת כניסה
אז השאלה מה מתוכם אקטואלי לי
הבנתי שWireGuard VPN זה משהו ממש חזק כי הפורטים לא גלויים וכל התקשורת מוצפנת, השאלה היא איך אפשר לשלב את זה עם אפשרות כניסה ללא המחשב שליאשמח לעזרה אבל אשמח שזה יהיה במילים ובמונחים פשוטות שיהיו מובנות גם לדוברי עברית כמוני...
@ששא אאל"ט WireGuard VPN זה ממש לא בשבילך.
VPN בא לשמור על הגלישה שלך שלא יחשף לאחרים, לדוגמא, אם נתקין VPN (לא משנה איזה) על מחשב A, אז אם אתה גולש במחשב A, כל התעבורה ילך באופן מוצפן דרך שרת הVPN, כך שה'גלישה' שלך יהיה פרטי ומכוסה. אבל החיבורים הנכנסים (שזה מה שמדאיג אותך עכשיו) עדיין נכנסים באותו פתח כמו לפני התקנת הVPN. -
כבר כתבתי את זה בכמה מקומות, די בביטול הסיסמה והגדרת מפתח פרטי (כפי שכתב מצטרף @5566brs), הפעלת החומת אש וזהו.
-
@מד אכן, כפי שגם כבר כתבתי פה https://tchumim.com/post/168840.
אין גם צורך לדעתי בהגבלה לIP, בטח שלא שינוי פורט.
בהגבלה לIP יש תועלת אם יש שירותים פתוחים בחומת האש ובטח ובטח אם הוא לא מופעל.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@מד אכן, כפי שגם כבר כתבתי פה https://tchumim.com/post/168840.
אין גם צורך לדעתי בהגבלה לIP, בטח שלא שינוי פורט.
בהגבלה לIP יש תועלת אם יש שירותים פתוחים בחומת האש ובטח ובטח אם הוא לא מופעל.@dovid כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:
בהגבלה לIP יש תועלת <=> אם הוא לא מופעל.
סתירה, לא?
@5566brs כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:
אם הכניסה היא עם key בלבד אז רוב הבעיות נפתרו מלבד פירצות 0day (חולשות בפרוטוקול או בsshd שאיש אינו יודע עליהן).
בעצם זה מה ש-@ששא מפחד, עיי"ש במסמך שהביא:
נניח תוקף קבע מטרה, שרת מרכזי של איזה אירגון, הוא סורק את השרת בעזרת NMAP או משהו בסיגנון,
מקבל רשימת פורטים פתוחים, מגלה שהפורט 22 פתוח על השרת, מה שאומר שאם מנהל הרשת לא היה
חכם מדי, כניראה מדובר בשירות SSH, התוקף יודע היטב שבכדי להתחבר לשרת ה-SSH הוא צריך שם
משתמש וסיסמא, אבל מה, אחרי נסיון ההתחברות, הוא פתאום מגלה מהבאנר, שמדובר בשרת OpenSSH
.v3.3
זהו, Over-Game, כולנו מכירים את ה-Overflow Buffer שקיים בגירסאות 2.9.9-3.3 של OpenSSH.
המרחק מכאן עד להשתלטות מלאה של התוקף על השרת- קצר מאוד.
למה שלא לדאוג קצת מזה? סוף סוף זה מעשים בכל יום שתוקפים מוצאים באגים. לא?
-
@מד הטקסט שצירפת מדבר על פירצה אחת מיני בודדות (פחות מ10 לדעתי) שנמצאה בSSH בעשרות שנות שימוש.
היא מתוחכמת מאוד, וכשהיא נמצאה כל אחד שמעורב בין הבריות ידע שצריך לעדכן את השירות.
נכון, זה יכול לקרות, ואז מי שיעבוד על השרת שלך ייתן לך תשומת לב יתירה...
אם מדובר על מערכת שאף אחד לא יזכור שהיא קיימת/לעדכן אותה, ממממ, שום פתרון מהאמורים לעיל לא טוב. -
@dovid כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:
בהגבלה לIP יש תועלת <=> אם הוא לא מופעל.
סתירה, לא?
@5566brs כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:
אם הכניסה היא עם key בלבד אז רוב הבעיות נפתרו מלבד פירצות 0day (חולשות בפרוטוקול או בsshd שאיש אינו יודע עליהן).
בעצם זה מה ש-@ששא מפחד, עיי"ש במסמך שהביא:
נניח תוקף קבע מטרה, שרת מרכזי של איזה אירגון, הוא סורק את השרת בעזרת NMAP או משהו בסיגנון,
מקבל רשימת פורטים פתוחים, מגלה שהפורט 22 פתוח על השרת, מה שאומר שאם מנהל הרשת לא היה
חכם מדי, כניראה מדובר בשירות SSH, התוקף יודע היטב שבכדי להתחבר לשרת ה-SSH הוא צריך שם
משתמש וסיסמא, אבל מה, אחרי נסיון ההתחברות, הוא פתאום מגלה מהבאנר, שמדובר בשרת OpenSSH
.v3.3
זהו, Over-Game, כולנו מכירים את ה-Overflow Buffer שקיים בגירסאות 2.9.9-3.3 של OpenSSH.
המרחק מכאן עד להשתלטות מלאה של התוקף על השרת- קצר מאוד.
למה שלא לדאוג קצת מזה? סוף סוף זה מעשים בכל יום שתוקפים מוצאים באגים. לא?
