Turris - otevření portu 22 na firewallu Turrisu z WAN

Dne 2014-05-21 18:13

Já jsem si to zatím povolil, i když vím že to z hlediska bezpečnosti není nejlepší,
nastavil jsem si v Pravidlech síťového provozu přístup jen z IP adresy z práce.
Mám docela silné heslo (malé, velké a čísla) takže zatím to pokouším.
Občas se připojím, i přes WinSCP, není to taky nic co by nepočkalo,
až opadne ten počáteční chuť se v tom pořád rýpat, zakážu si to. :evil:

Od horada

Dne 2014-05-21 19:33

O kolik je "bezpečnější" otevřít pro ssh nějaký vyšší port? Chápu že 2222 je docela profláklý... ale přeci jenom jich máme nějakých 65k a když mám vybraný nějaký ne tak očividný? (+ samozřejmě bezpečné heslo...)

btw: logují se někde neúspěšné pokusy o přihlášení?

Od NONES

Dne 2014-05-21 19:41

Kazdy alespon trosku inteligentni scanner portu vam bezici sluzbu na otevrenem portu rozpozna, i kdyz bezi na nestandardnim (tedy ne na tom svem) portu.

Od horada

Dne 2014-05-21 19:44

To jo... ale jde mi o to jaký je poměr slepého střílení na port 22 a systematického skenování portů? Oskenovat u každého hosta 65k portů bude trvat déle než vyzkoušení několika známých čísel... nebo se pletu?

Od NONES

Dne 2014-05-21 19:51

Si to vyzkoušejte sám, jak dlouho trvá scan celého rozsahu TCP portu (0-65535) viz. http://nmap.online-domain-tools.com/

Od Michal Vaner (>>)

Dne 2014-05-22 08:43

Při cíleném scanování dané IP adresy určitě. Ale pokud je útočníkovým cílem získat co nejvíce strojů a ne zrovna ten daný, pak je výhodnější oscanovat 65k IP adres na port 22, než 65k portů na jednom stroji. Šance, že někdo, kdo si nedokáže nastavit kloudné heslo bude vědět, jak to přestěhovat na jiný port je také spíše menší.

Od lzita

Dne 2014-05-22 09:28

S tím souhlasím. Mám podobnou zkušenost z Windows RDP, kde pokud otevřete přímo port 3389 tak je tam násobně více pokusů o brute-force útok, než když ten port přesměrujete někam nahoru nad 10000.

Od Jan Čermák (>>)

Dne 2014-05-26 08:42 Upraveno 2014-05-26 08:47

Ten port scanner ale pořád musí projet těch 65k portů, případně se do toho Vašeho nestandardního portu trefit. A pak už se většinou jedná o cílený útok (resp. přípravu na něj) na Váš router. Drtivá většina toho, co je ale vidět v zalogovaných paketech, jsou masové scany nebo útoky, které už směřují na konkrétní porty.

Edit: Ehm, nějak jsem si nevšiml prakticky stejného příspěvku od Michala Vanera :red:

Tak aspoň k druhé části přechozí otázky - neúspěšné pokusy by se měly logovat do /var/log/messages.

Od NONES

Dne 2014-05-26 16:40

Tak jo, díky za Vaše názory. Nechystáte připravit nějaký návod na nastavení bezpečného vzdáleného připojení k jednotlivým službám routeru (SSH, Foris, LUCI) se zohledněním Vámi doporučovaných pravidel (např. přesměrování defaultního SSH portu na nějaký nestandardní vyšší). Byl by to Vámi autorizovaný dokument a pokud by se mi někdo naboural do routeru, mohl bych říct: "Ale já jsem to měl nastavené správně, to mi poradil pan Čermák a pan Vaner!!!" :lol:

Od Jan Čermák (>>)

Dne 2014-05-26 17:01

Nic takového aktuálně v plánu nemáme. Snad brzy by ale měl být uveřejněn balíček, pomocí kterého bude možné si aktivovat HTTPS pro přístup do Lighttpd, díky němuž by mělo být vzdálené připojení do administrace routeru v principu bezpečnější. Ale i tady hraje obrovskou roli lidský faktor, a tak reálná bezpečnost často víc než na správném nastavení záleží na tom, zda používáte dostatečně silná hesla, v případě přístupu k SSH pak lépe klíče, a zda se k těmto údajům nedostane třetí strana...

Od fanoush

Dne 2014-05-23 17:38 Hlasů 1

jeste je reseni port knocking

Od PabloRadegast (>)

Dne 2014-05-22 19:27

At nezakladam nove vlakno, tak se zeptam tady. Rad bych do presmeroval http Turise z portu 80 na jiny treba 22 nebo 443, ale netusim, jak to udelat. Jde mi o to, ze port 80 treba muzu potrebovat vyhledove na NASu pro sve webove stranky. Jak donutim Turris, aby poslouchal na jinem portu?

Od horada

Dne 2014-05-23 07:20

Dobrý den,
jde vám o to aby webové rozhraní turrise ve vnitřní síti běželo na jiném portu? Nebo aby k němu byl přístup z venku, ale aby byl dostupný na jiném portu? Nebo oboje dohromady?

ad1) - to bude v konfiguraci lighttpd (/etc/lighttpd/lighttpd.conf) - teď trochu střílím od boku, ale mohlo by stačit změnit:
server.port = 12345
a
$SERVER["socket"] == "[::]:12345" { }
(Něco možná bude k nalezení tu: https://www.turris.cz/forum/topic_show.pl?tid=195)

ad2) - já jsem podobnou věc (zachování ssh na vnitřní síti na portu 22, ale umožnění z venku přístup přes jiný port) vyřešil následovně:
Luci - Network -> Firewall - Port Forwards:


  Name = Turris z venku
  Protocol = TCP
  External zone = wan
  External port = 12345
  Internal zone = lan
  Internal IP address = 192.168.1.1
  Internal port= 80

Od PabloRadegast (>)

Dne 2014-05-23 16:58

Dobry den,

jde mi o tu druhou variantu. Mam jeste jednu mozna hlupou otazku. Nemam totiz statickou IP adresu, takze bych pristupoval pres DDNS a to konkretne DuckDNS. Pak bych v pripade, ze budu pristupovat pres port 12345 musel napsat za adresu http://mojedomena.duckdns.org jeste dvojtecku a cislo portu 12345, kdyz se predpoklada, ze kdyz vyuziju protokol http, tak chci pristupovat pres port 80? Preposle sluzba DDNS dal to cislo portu?
Vyzkousel bych to hned, ale z externi site bych mel pristup az v pondeli z prace. Kazdopadne dekuji za nakopnuti.

Od horada

Dne 2014-05-24 06:05

Bude to přesně jak to říkáte http://mojedomena.duckdns.org:12345 (možná by stálo za to rozjet to přes https ať to internetem neběží nešifrovaně) - duckdns do toho vůbec zasahovat nebude, od něj získáte jenom aktuální IP adresu - ten odkaz http://mojedomena.duckdns.org:12345 už putuje přímo k turrisovi.

Od PabloRadegast (>)

Dne 2014-05-28 16:33

Dobry den,

vsechno uz mi funguje tak, jak ma a ve firewalu mam nastaveno presmerovani portu 443 na 80. Jenom bych mel jednu otazecku aka BFU. Kdyz port 443 je vlastne rezervovan pro sluzbu https, neni pak jedno jestli napisu zvenku http://mojedomena.duckdns.org:443 nebo https://mojedomena.duckdns.org?

Od horada

Dne 2014-05-28 16:41

Dobrý den,
To že v prohlížeči napíšete https://... v prvé řadě znamená že se má to spojení šifrovat (to že se automaticky použije port 443 je až vedlejší efekt) - pokusí se o to a zjistí že dostane nesmyslnou odpověď... takže to fungovat nebude.

(Když už je ale nyní možné přistupovat k rozhraní přes https (viz poslední aktualizace) ... tak bych asi raději zvolil to, místo http.)

Od palikv.mojeid.c (>)

Dne 2014-05-24 06:15

Já port změnil tady: /etc/lighttpd/lighttpd.conf

######### Options that are good to be but not neccesary to be changed #######

## bind to port (default: 80)
server.port = 5001

## bind to localhost (default: all interfaces)
#server.bind = "localhost"

stejně se ale nevyhnete pravidlu ve firewallu. Takže, když si přesměrujete jakýkoliv vámi vybraný port na port 80 vašeho routeru, udělá to stejnou službu a nemusíte měnit lighttpd.conf.