הדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ

5566brs

משום מה לא מציעים לעבוד עם UDP.
בTCP אין אפשרות "להאזין" בלי שמישהו יראה - בכלים פשוטים. להאזין לSYN זה קצת יותר מורכב.
אבל לUDP אפשרות בקלות רבה. וגם לשלוח pakcet UDP זה קל.
אפשר בקלות לעשות שרות שמאזין ומקבל איזה נתון ומחליט לפתוח בfw את הפורט שבו הssh.
כמובן שאת בעיות הmitm שהזכירו שם צריך לחשוב איך לפתור עם הpayload, אבל הבסיס קל ליישום.
אגב ברוב המקרים זה מיותר, וסריקות לא צריכות להפחיד מדי.

ששא

@5566brs כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:

משום מה לא מציעים לעבוד עם UDP.
בTCP אין אפשרות "להאזין" בלי שמישהו יראה - בכלים פשוטים. להאזין לSYN זה קצת יותר מורכב.
אבל לUDP אפשרות בקלות רבה. וגם לשלוח pakcet UDP זה קל.
אפשר בקלות לעשות שרות שמאזין ומקבל איזה נתון ומחליט לפתוח בfw את הפורט שבו הssh.

ביקשתי בעברית...
אשמח שתכתוב קצת יותר מובן לאנשים כמוני
לא בדיוק הבנתי, אבל זה לא בעצם הדרך שWireGuard VPN עובד?

5566brs

@ששא
לא מכיר את wireGuard.
VPN באופן כללי זה שיטה איך לחבר מחשב מרוחק לרשת מקומית.
ברשת הפנימית יש משאבים שזמינים רק למחשבים הפנימיים, והמטרה היא ליישם מנגנון שאחרי הזדהות מוצלחת, המחשב המרוחק יהיה כמו מחשב שנמצא בתוך הרשת.

זה בדרך כלל מורכב ולא משהו ש"ממציאים לבד", ויש גם כמה סוגים. שימוש בזה מחייב התקנת תוכנה בשני הצדדים (לכה"פ אם משתמשים ספציפית בwireGuard).
אז גם במחשב שמתיישבים עליו לרגע לא כזה קל להתחבר.

אם הפורט של הSSH הוא לא 22 כבר פתרנו הרבה בעיות, ואם הכניסה היא עם key בלבד אז רוב הבעיות נפתרו מלבד פירצות 0day (חולשות בפרוטוקול או בsshd שאיש אינו יודע עליהן).
אם פתוח רק עבור הIP שלך (וכל אלו שאיתך על אותו IP באדיבות הספק..) אז הסיכויים שמשהו יקרה הם אפסיים (בהנחה שהכל הוגדר נכון).
נשאר רק להוסיף מנגנון שיאפשר לך במקרה SOS כניסה מIP נוסף. כדאי לדאוג לגיבוי לkey...
ועכשיו רק נשאר לנחש מי רודף אחריך

dovid

כבר כתבתי את זה בכמה מקומות, די בביטול הסיסמה והגדרת מפתח פרטי (כפי שכתב מצטרף @5566brs), הפעלת החומת אש וזהו.

מד

@ששא אאל"ט WireGuard VPN זה ממש לא בשבילך.
VPN בא לשמור על הגלישה שלך שלא יחשף לאחרים, לדוגמא, אם נתקין VPN (לא משנה איזה) על מחשב A, אז אם אתה גולש במחשב A, כל התעבורה ילך באופן מוצפן דרך שרת הVPN, כך שה'גלישה' שלך יהיה פרטי ומכוסה. אבל החיבורים הנכנסים (שזה מה שמדאיג אותך עכשיו) עדיין נכנסים באותו פתח כמו לפני התקנת הVPN.

מד

@dovid אין צורך ב-fail2ban ?

dovid

@מד אכן, כפי שגם כבר כתבתי פה https://tchumim.com/post/168840.
אין גם צורך לדעתי בהגבלה לIP, בטח שלא שינוי פורט.
בהגבלה לIP יש תועלת אם יש שירותים פתוחים בחומת האש ובטח ובטח אם הוא לא מופעל.

מד

@dovid כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:

בהגבלה לIP יש תועלת <=> אם הוא לא מופעל.

סתירה, לא?

@5566brs כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:

אם הכניסה היא עם key בלבד אז רוב הבעיות נפתרו מלבד פירצות 0day (חולשות בפרוטוקול או בsshd שאיש אינו יודע עליהן).

בעצם זה מה ש-@ששא מפחד, עיי"ש במסמך שהביא:

נניח תוקף קבע מטרה, שרת מרכזי של איזה אירגון, הוא סורק את השרת בעזרת NMAP או משהו בסיגנון,

מקבל רשימת פורטים פתוחים, מגלה שהפורט 22 פתוח על השרת, מה שאומר שאם מנהל הרשת לא היה

חכם מדי, כניראה מדובר בשירות SSH, התוקף יודע היטב שבכדי להתחבר לשרת ה-SSH הוא צריך שם

משתמש וסיסמא, אבל מה, אחרי נסיון ההתחברות, הוא פתאום מגלה מהבאנר, שמדובר בשרת OpenSSH

.v3.3

זהו, Over-Game, כולנו מכירים את ה-Overflow Buffer שקיים בגירסאות 2.9.9-3.3 של OpenSSH.

המרחק מכאן עד להשתלטות מלאה של התוקף על השרת- קצר מאוד.

למה שלא לדאוג קצת מזה? סוף סוף זה מעשים בכל יום שתוקפים מוצאים באגים. לא?

dovid

@מד הטקסט שצירפת מדבר על פירצה אחת מיני בודדות (פחות מ10 לדעתי) שנמצאה בSSH בעשרות שנות שימוש.
היא מתוחכמת מאוד, וכשהיא נמצאה כל אחד שמעורב בין הבריות ידע שצריך לעדכן את השירות.
נכון, זה יכול לקרות, ואז מי שיעבוד על השרת שלך ייתן לך תשומת לב יתירה...
אם מדובר על מערכת שאף אחד לא יזכור שהיא קיימת/לעדכן אותה, ממממ, שום פתרון מהאמורים לעיל לא טוב.

dovid

@מד כתב בהדרך הכי טובה לחסימת פריצות לשרת + מניעת אפשרות להיתקע בחוץ:

בהגבלה לIP יש תועלת <=> אם הוא לא מופעל.

"לא מופעל" מתייחס לחומת אש.