Kirjoittaja Aihe: Tietoturva, SSH, ping, DDOS  (Luettu 7487 kertaa)

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Tietoturva, SSH, ping, DDOS
« : 10.11.16 - klo:10.04 »
Onko mitään tapaa, millä SSHD:sta saisi USER: -promptin pois ?
Nyt, kun hyökkääjä skannailee verkkoa, hän heittää SSH:lla kutsun satunnaiseen IP-osoitteeseen ja SSH vastaa promptilla.
Kun hyökkääjä näkee tämän promptin, hän alkaa takoa salasanoja käyttäjille root, admin ja administrator.
Itse osaan kyllä kirjoittaa käyttäjätunnuksen, vaikken näekkään promptia.

Vaikka omassa serverissäni onkin root tapettu ja esto päällä, tuo takominen kuormittaa nettiliitäntää. Pahimmillaan naputuksia on tullut useita sekunnissa. Serveri joutuu reagoimaan jokaiseen naputukseen ja tekee vielä niistä merkinnän loki-tiedostoihin, mikä taas osaltaan hidastaa serveriä.

Tähän päälle vielä pingailu. Olen kyllä estänyt pingin palomuurissa, mutta tiedän, että ping-naputuskin on jatkuvaa. Kun koemielessä pidin pingin päällä, tuli pingiä tasaisena virtana useita satoja minuutissa.

Missään käyttämässäni ADSL- tai kuitupurkissa ei saa muutettua ADMIN-käyttäjän nimeä muuksi. Tietoturvaa auttaisi, jos ADMIN, ROOT ja ADMINISTRATOR -käyttäjän nimen voisi muuttaa. Kun summataan käyttäjätunnus ja salasana, päästään paljon nykyistä pidempiin avaimiin.
Oman serverini IP:n tunnistan, koska serveri lähettäää sähköpostia, kun IP muuttuu. Samalla se voisi lähettää kryptattuna myös uuden salasanan toiseen postilaatikkoon tai jollekin julkiselle webbisivulle.

Monesti kehotetaan vaihtamaan salasana mahdollisimman usein. Mitä hyötyä tästä on ? Millä todennäköisyydellä uusi salasana on juurikin se, jota hyökkääjä kokeilee seuraavaksi ?

DDOS-hyökkäyksiin minulla on toisessa kiinteistövalvonta-serverissäni yksinkertainen ratkaisu: pollaava yhteys. Koneeseen ei pääse sisään millään tunnetulla protokollalla verkon kautta. Kone ottaa itse yhteyttä ulospäin.
Jos haluan muuttaa asetuksia, teen muutettavista conf-tiedostoista ja scripteistä umpinaisen paketin ulkoiselle serverille ja toiselle ulkoiselle serverille käännän pari merkkiä toiseen asentoon, jolloin tuota pollaaava serveri tietää, että nyt pitää käydä hakemassa paketti. Ulospäin tulevan datan serveri heittää ulkoiselle serverille. Mikäli tämä serveri on tukossa, käytetään toista. datat synkataan aikaleimojen perusteella.

Sotilassovelluksissa tämänkaltaiset protokollat ovat käytössä. Miksei siis myös siviilipuolella ?

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #1 : 10.11.16 - klo:11.04 »
Onko mitään tapaa, millä SSHD:sta saisi USER: -promptin pois ?
Nyt, kun hyökkääjä skannailee verkkoa, hän heittää SSH:lla kutsun satunnaiseen IP-osoitteeseen ja SSH vastaa promptilla.
Kun hyökkääjä näkee tämän promptin, hän alkaa takoa salasanoja käyttäjille root, admin ja administrator.
Itse osaan kyllä kirjoittaa käyttäjätunnuksen, vaikken näekkään promptia.

Prompti on SSH-clientin ominaisuus. Sitä ei voi estää palvelimen puolella, eikä sillä ole mitään merkitystä hyökkäävän skriptin toiminnan kannalta.


Vaikka omassa serverissäni onkin root tapettu ja esto päällä, tuo takominen kuormittaa nettiliitäntää. Pahimmillaan naputuksia on tullut useita sekunnissa. Serveri joutuu reagoimaan jokaiseen naputukseen ja tekee vielä niistä merkinnän loki-tiedostoihin, mikä taas osaltaan hidastaa serveriä.

Noista tuskin aiheutuu merkittävää kuormaa, mutta helpoin ratkaisu on siirtää SSH-palvelin porttiin, jota skriptit eivät kokeile eivätkä yleensä skannaa. Isommat porttinumerot ovat tähän parhaita, eli joku satunnainen portti 20000 - 65000 väliltä.


Tähän päälle vielä pingailu. Olen kyllä estänyt pingin palomuurissa, mutta tiedän, että ping-naputuskin on jatkuvaa. Kun koemielessä pidin pingin päällä, tuli pingiä tasaisena virtana useita satoja minuutissa.

Tuokin on vielä hyvin kevyttä.


Missään käyttämässäni ADSL- tai kuitupurkissa ei saa muutettua ADMIN-käyttäjän nimeä muuksi. Tietoturvaa auttaisi, jos ADMIN, ROOT ja ADMINISTRATOR -käyttäjän nimen voisi muuttaa. Kun summataan käyttäjätunnus ja salasana, päästään paljon nykyistä pidempiin avaimiin.

Yleensä admin-käyttöliittymän voi kuitenkin rajata sisäverkkoon, ja oletuksena niin pitäisi ollakin.

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #2 : 10.11.16 - klo:11.38 »

Monesti kehotetaan vaihtamaan salasana mahdollisimman usein. Mitä hyötyä tästä on ? Millä todennäköisyydellä uusi salasana on juurikin se, jota hyökkääjä kokeilee seuraavaksi ?

DDOS-hyökkäyksiin minulla on toisessa kiinteistövalvonta-serverissäni yksinkertainen ratkaisu: pollaava yhteys. Koneeseen ei pääse sisään millään tunnetulla protokollalla verkon kautta. Kone ottaa itse yhteyttä ulospäin.
Jos haluan muuttaa asetuksia, teen muutettavista conf-tiedostoista ja scripteistä umpinaisen paketin ulkoiselle serverille ja toiselle ulkoiselle serverille käännän pari merkkiä toiseen asentoon, jolloin tuota pollaaava serveri tietää, että nyt pitää käydä hakemassa paketti. Ulospäin tulevan datan serveri heittää ulkoiselle serverille. Mikäli tämä serveri on tukossa, käytetään toista. datat synkataan aikaleimojen perusteella.

Sotilassovelluksissa tämänkaltaiset protokollat ovat käytössä. Miksei siis myös siviilipuolella ?

Tähän ei ole siviilipuolella tarvetta. Huomaa että turvallisuuskäytännöt on aina kompromissi  käytettävyyden ja turvallisuuden välillä. Siviilipuolella riittää että liikenne on salattua sekä liikenne itsessään ei erotu muusta liikenteestä.

 Foliohattu päällä kulkeminen näyttää oudolta ...
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

TuxNetti

  • Käyttäjä
  • Viestejä: 47
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #3 : 10.11.16 - klo:11.39 »
Tuo portin vaihtaminen näköjään jo mainittiinkin. Tämän lisäksi SSH-palvelimen voi asettaa kuuntelemaan vain tiettyä IP-osoitetta, jolloin se ei vastaa muista IP-osoitteista tulleisiin pyyntöihin.

Myös palomuurilla voi suodattaa keiden yhteyspyyntöjä palvelimelle asti välitetään. Palomuurista voi sallia vain tietystä IP-avaruudesta tulevat yhteyspyynnöt. Sulkemalla esim. ulkomaalaiset IP-osoitteet pois, on mahdollisen tunkeutujan tultava suomessa sijaitsevan koneen kautta.

Sitten kirjautumisen salasanalla voi estää kokonaan ja käyttää sen sijaan salausavainta.

Salasanan vaihtelu ei vaikuta mitenkään tuleviin tunkeutumisyrityksiin. Vaihtamisen tarkoituksena on vähentää riskiä siitä, että salasanasi olisi jo ulkopuolisen tahon tiedossa.  Kaikki tunkeutujat kun eivät hyödynnä kaappaamaansa konetta heti, vaan saattaa jättää koneen "reserviin" odottamaan sopivaa käyttötarkoitusta.

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #4 : 10.11.16 - klo:15.29 »
Onko mitään tapaa, millä SSHD:sta saisi USER: -promptin pois ?
Nyt, kun hyökkääjä skannailee verkkoa, hän heittää SSH:lla kutsun satunnaiseen IP-osoitteeseen ja SSH vastaa promptilla.
Kun hyökkääjä näkee tämän promptin, hän alkaa takoa salasanoja käyttäjille root, admin ja administrator.
Itse osaan kyllä kirjoittaa käyttäjätunnuksen, vaikken näekkään promptia.

Prompti on SSH-clientin ominaisuus. Sitä ei voi estää palvelimen puolella, eikä sillä ole mitään merkitystä hyökkäävän skriptin toiminnan kannalta.
Jotenkin en sulata tätä. Jostainhan tuo clientti havaitsee, että vastapäässä on SSHd.

Vaikka omassa serverissäni onkin root tapettu ja esto päällä, tuo takominen kuormittaa nettiliitäntää. Pahimmillaan naputuksia on tullut useita sekunnissa. Serveri joutuu reagoimaan jokaiseen naputukseen ja tekee vielä niistä merkinnän loki-tiedostoihin, mikä taas osaltaan hidastaa serveriä.

Noista tuskin aiheutuu merkittävää kuormaa, mutta helpoin ratkaisu on siirtää SSH-palvelin porttiin, jota skriptit eivät kokeile eivätkä yleensä skannaa. Isommat porttinumerot ovat tähän parhaita, eli joku satunnainen portti 20000 - 65000 väliltä.

Pahimmillaan kuorma on ollut lähes puolet 10Mb kuidun nopeudesta.

Missään käyttämässäni ADSL- tai kuitupurkissa ei saa muutettua ADMIN-käyttäjän nimeä muuksi. Tietoturvaa auttaisi, jos ADMIN, ROOT ja ADMINISTRATOR -käyttäjän nimen voisi muuttaa. Kun summataan käyttäjätunnus ja salasana, päästään paljon nykyistä pidempiin avaimiin.

Yleensä admin-käyttöliittymän voi kuitenkin rajata sisäverkkoon, ja oletuksena niin pitäisi ollakin.
Minä osaan ja sinä osaat pistää asetukset kuntoon, ellei tule kämmejä. 99% käyttäjistä kuitenkin heittää reitittimensä kiinni letkuihin asetuksia katsomatta.
« Viimeksi muokattu: 10.11.16 - klo:15.46 kirjoittanut Mistofelees »

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #5 : 10.11.16 - klo:15.35 »

Monesti kehotetaan vaihtamaan salasana mahdollisimman usein. Mitä hyötyä tästä on ? Millä todennäköisyydellä uusi salasana on juurikin se, jota hyökkääjä kokeilee seuraavaksi ?

DDOS-hyökkäyksiin minulla on toisessa kiinteistövalvonta-serverissäni yksinkertainen ratkaisu: pollaava yhteys. Koneeseen ei pääse sisään millään tunnetulla protokollalla verkon kautta. Kone ottaa itse yhteyttä ulospäin.
Jos haluan muuttaa asetuksia, teen muutettavista conf-tiedostoista ja scripteistä umpinaisen paketin ulkoiselle serverille ja toiselle ulkoiselle serverille käännän pari merkkiä toiseen asentoon, jolloin tuota pollaaava serveri tietää, että nyt pitää käydä hakemassa paketti. Ulospäin tulevan datan serveri heittää ulkoiselle serverille. Mikäli tämä serveri on tukossa, käytetään toista. datat synkataan aikaleimojen perusteella.

Sotilassovelluksissa tämänkaltaiset protokollat ovat käytössä. Miksei siis myös siviilipuolella ?

Tähän ei ole siviilipuolella tarvetta. Huomaa että turvallisuuskäytännöt on aina kompromissi  käytettävyyden ja turvallisuuden välillä. Siviilipuolella riittää että liikenne on salattua sekä liikenne itsessään ei erotu muusta liikenteestä.

 Foliohattu päällä kulkeminen näyttää oudolta ...

Samoja kommentteja kuuli, kun yhteyksissä käytettiin telnettiä ja ftp:tä suojaamattomilla yhteyksillä.
Itse en haluaisi nähdä omia servereitäni DDOS-hyökkäyksissä käytettyjen koneiden listoilla.
Liikenteen ei minun käytössäni yleensä tarvitse olla suojattua kuin tunnusten ja salasanojen kohdella. Data ei ole kriittistä.
Vaikka sinun mielestäsi suojautuminen onkin tarpeetonta, minusta näitä asioita kannattaisi miettiä.
« Viimeksi muokattu: 10.11.16 - klo:15.49 kirjoittanut Mistofelees »

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #6 : 10.11.16 - klo:15.45 »
Tuo portin vaihtaminen näköjään jo mainittiinkin. Tämän lisäksi SSH-palvelimen voi asettaa kuuntelemaan vain tiettyä IP-osoitetta, jolloin se ei vastaa muista IP-osoitteista tulleisiin pyyntöihin.

Myös palomuurilla voi suodattaa keiden yhteyspyyntöjä palvelimelle asti välitetään. Palomuurista voi sallia vain tietystä IP-avaruudesta tulevat yhteyspyynnöt. Sulkemalla esim. ulkomaalaiset IP-osoitteet pois, on mahdollisen tunkeutujan tultava suomessa sijaitsevan koneen kautta.

Sitten kirjautumisen salasanalla voi estää kokonaan ja käyttää sen sijaan salausavainta.

Salasanan vaihtelu ei vaikuta mitenkään tuleviin tunkeutumisyrityksiin. Vaihtamisen tarkoituksena on vähentää riskiä siitä, että salasanasi olisi jo ulkopuolisen tahon tiedossa.  Kaikki tunkeutujat kun eivät hyödynnä kaappaamaansa konetta heti, vaan saattaa jättää koneen "reserviin" odottamaan sopivaa käyttötarkoitusta.

IP-osoitteiden rajaaminen on mahdollista, mikäli liikkuu vain kodin ja työmaan välillä. Itse kuitenkin olen joutunut ottamaan yhteyksiä kolmesta maanosasta satunnaisista osoitteista.

Elekaz

  • Käyttäjä
  • Viestejä: 92
    • Profiili
    • Piece of code

SuperOscar

  • Käyttäjä
  • Viestejä: 4062
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #8 : 10.11.16 - klo:15.53 »
Palomuurista voi sallia vain tietystä IP-avaruudesta tulevat yhteyspyynnöt. Sulkemalla esim. ulkomaalaiset IP-osoitteet pois, on mahdollisen tunkeutujan tultava suomessa sijaitsevan koneen kautta.

Taisi olla juuri uusimmassa Linux Magazinessa tästä juttu, jossa todettiin, ettei IP-osoitteiden torjumisella ole enää samaa merkitystä kuin ennen IPv4-osoiteavaruuden käytyä vähiin ja monien käyttäessä jo erilaisia purkkaratkaisuja.
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

retu

  • Käyttäjä
  • Viestejä: 949
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #9 : 10.11.16 - klo:16.12 »
IP-osoitteiden rajaaminen on mahdollista, mikäli liikkuu vain kodin ja työmaan välillä. Itse kuitenkin olen joutunut ottamaan yhteyksiä kolmesta maanosasta satunnaisista osoitteista.
Fail2ban?

Olisikohan koputuksesta apua? https://www.digitalocean.com/community/tutorials/how-to-use-port-knocking-to-hide-your-ssh-daemon-from-attackers-on-ubuntu.
Tuotahan voisi vaikka kokeilla. 8)

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #10 : 10.11.16 - klo:20.29 »
Prompti on SSH-clientin ominaisuus. Sitä ei voi estää palvelimen puolella, eikä sillä ole mitään merkitystä hyökkäävän skriptin toiminnan kannalta.
Jotenkin en sulata tätä. Jostainhan tuo clientti havaitsee, että vastapäässä on SSHd.

Niin. Asiakas ja palvelin kättelevät SSH-protokollan mukaisesti ja asiakas autentikoi (tai hyväksyy) palvelimen ennen kuin mitään kirjautumista yritetään. Ihan ensin asiakas lähettää omat versiotietonsa palvelimelle, ja palvelin vastaa omillaan. Sitten neuvotellaan käytettävä SSH-protokollan versio ja vaihdetaan avaimia. Vasta sen jälkeen seuraa varsinainen kirjautuminen. Tarkempi kuvaus täällä: http://www.cisco.com/c/en/us/about/press/internet-protocol-journal/back-issues/table-contents-46/124-ssh.html

Jos haluaisit toteuttaa SSH-protokollaan sopivan simppelin blokkauksen, palvelin voisi vastata vain niille asiakkaille, jotka lähettävät tietyntyyppiset versiotiedot yhteyden alussa. Tämä kuitenkin rajoittaisi erilaisten asiakasohjelmien käyttöä, eikä varmaankaan käytännössä kelpaa ratkaisuksi alkuperäiseen kysymykseen.

Vaikka omassa serverissäni onkin root tapettu ja esto päällä, tuo takominen kuormittaa nettiliitäntää. Pahimmillaan naputuksia on tullut useita sekunnissa. Serveri joutuu reagoimaan jokaiseen naputukseen ja tekee vielä niistä merkinnän loki-tiedostoihin, mikä taas osaltaan hidastaa serveriä.

Noista tuskin aiheutuu merkittävää kuormaa, mutta helpoin ratkaisu on siirtää SSH-palvelin porttiin, jota skriptit eivät kokeile eivätkä yleensä skannaa. Isommat porttinumerot ovat tähän parhaita, eli joku satunnainen portti 20000 - 65000 väliltä.

Pahimmillaan kuorma on ollut lähes puolet 10Mb kuidun nopeudesta.

Melkoista. Enpä ole havainnut mitään vastaavaa omissa palvelimissani. Tänään on näemmä tullut reilut 250 000 kirjautumisyritystä aamukasin jälkeen, eli keskimäärin n. 6 yritystä sekunnissa, ja verkkoliikenne on tuollaista 10 kbps luokkaa molempiin suuntiin, eli ei käytännössä mitään. Olisiko se 5 Mbps kuorma kuitenkin johtunut jostain muusta kuin SSH-koputtelusta?

Missään käyttämässäni ADSL- tai kuitupurkissa ei saa muutettua ADMIN-käyttäjän nimeä muuksi. Tietoturvaa auttaisi, jos ADMIN, ROOT ja ADMINISTRATOR -käyttäjän nimen voisi muuttaa. Kun summataan käyttäjätunnus ja salasana, päästään paljon nykyistä pidempiin avaimiin.

Yleensä admin-käyttöliittymän voi kuitenkin rajata sisäverkkoon, ja oletuksena niin pitäisi ollakin.
Minä osaan ja sinä osaat pistää asetukset kuntoon, ellei tule kämmejä. 99% käyttäjistä kuitenkin heittää reitittimensä kiinni letkuihin asetuksia katsomatta.

Enpä kuitenkaan muista törmänneeni ADSL/WAN-reitittimeen, jossa hallintakäyttöliittymä olisi oletuksena auki nettiin. Selkeä tietoturvariski ja ohjelmistovirhe, jos niin on. Tehdasasetuksillahan purkin salasanakin on jotain tyyliin admin tai 1234, eikä sitäkään kukaan normitallaaja vaihda.


matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #11 : 10.11.16 - klo:21.22 »


Monesti kehotetaan vaihtamaan salasana mahdollisimman usein. Mitä hyötyä tästä on ? Millä todennäköisyydellä uusi salasana on juurikin se, jota hyökkääjä kokeilee seuraavaksi ?

DDOS-hyökkäyksiin minulla on toisessa kiinteistövalvonta-serverissäni yksinkertainen ratkaisu: pollaava yhteys. Koneeseen ei pääse sisään millään tunnetulla protokollalla verkon kautta. Kone ottaa itse yhteyttä ulospäin.
Jos haluan muuttaa asetuksia, teen muutettavista conf-tiedostoista ja scripteistä umpinaisen paketin ulkoiselle serverille ja toiselle ulkoiselle serverille käännän pari merkkiä toiseen asentoon, jolloin tuota pollaaava serveri tietää, että nyt pitää käydä hakemassa paketti. Ulospäin tulevan datan serveri heittää ulkoiselle serverille. Mikäli tämä serveri on tukossa, käytetään toista. datat synkataan aikaleimojen perusteella.

Sotilassovelluksissa tämänkaltaiset protokollat ovat käytössä. Miksei siis myös siviilipuolella ?

Tähän ei ole siviilipuolella tarvetta. Huomaa että turvallisuuskäytännöt on aina kompromissi  käytettävyyden ja turvallisuuden välillä. Siviilipuolella riittää että liikenne on salattua sekä liikenne itsessään ei erotu muusta liikenteestä.

 Foliohattu päällä kulkeminen näyttää oudolta ...

Samoja kommentteja kuuli, kun yhteyksissä käytettiin telnettiä ja ftp:tä suojaamattomilla yhteyksillä.
Itse en haluaisi nähdä omia servereitäni DDOS-hyökkäyksissä käytettyjen koneiden listoilla.
Liikenteen ei minun käytössäni yleensä tarvitse olla suojattua kuin tunnusten ja salasanojen kohdella. Data ei ole kriittistä.
Vaikka sinun mielestäsi suojautuminen onkin tarpeetonta, minusta näitä asioita kannattaisi miettiä.
Nyt ymmärsit väärin.
Kyllä suojautuminen on tärkeää, mutta siinäkin pitää olla järki ettei se mene liiallisuuksiin. Suojatumisen ja salauksen tulee olla huomaamatonta ja vaivatonta  muuten siitä ei tule mitään.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #12 : 11.11.16 - klo:09.39 »
Nyt ymmärsit väärin.
Kyllä suojautuminen on tärkeää, mutta siinäkin pitää olla järki ettei se mene liiallisuuksiin. Suojatumisen ja salauksen tulee olla huomaamatonta ja vaivatonta  muuten siitä ei tule mitään.

Kiitos foliohatusta ;)

Tänä aamuna näytti olevan hiljaista. Yrityksiä tulee vain 3 sek välein. Tällä kertaa en viitsi tutkia, mutta edellispäivänä yrityksiä tuli eräästä asiallisesta Hollantilaisesta webbihotellista. Viisi yritystä yhdestä IP:stä ja IP:n vaihto. Käytössä toistakymmentä osoitetta. Lähetin reklamaation webbihotellin respaan.

Tuo knocking herätti ajatuksia.
Voisiko SSH:n kehittelijät lisätä mekanismin, jolla voisi lähettää serverille naputuskoodin, joka käynnistäisi varsinaisien SSHD:n.
Esimerkiksi siten, että asiakas antaisi SSH-clienttiä avatessa koodin kuten salasanan. Tämän perusteella client napauttaisi palvelimella tiettyjä portteja tietyn sekvenssin mukaisesti. Jos sekvenssi natsaisi, SSHD käynnistyisi ja hyväksyisi yhteyden annetusta osoitteesta.

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #13 : 11.11.16 - klo:10.23 »
Voisiko SSH:n kehittelijät lisätä mekanismin, jolla voisi lähettää serverille naputuskoodin, joka käynnistäisi varsinaisien SSHD:n.
Esimerkiksi siten, että asiakas antaisi SSH-clienttiä avatessa koodin kuten salasanan. Tämän perusteella client napauttaisi palvelimella tiettyjä portteja tietyn sekvenssin mukaisesti. Jos sekvenssi natsaisi, SSHD käynnistyisi ja hyväksyisi yhteyden annetusta osoitteesta.

Ei tule tapahtumaan, mutta voit itse viritellä tuon ohjeen mukaan.

SSH-kirjautumisyritykset ovat kuitenkin sen verran mitätön ongelma muuhun verrattuna, että niiden vuoksi on turha yöuniaan menettää.

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #14 : 11.11.16 - klo:10.44 »
Molemmat varsin yksinkertaiset keinot on kyllä jo ketjussa mainittu, mutta siltä varalta, että et huomannut:

1. Vaihda sshd:n kuuntelema portti esim. (22 --> 22022)

2. Vaihda avainparitunnistukseen ja poista salasanakirjautuminen käytöstä. (avaimeen voi myös liittää salasanan/lauseen, mikä estää käytön jos avain joutuu vääriin käsiin)

Koputtelut vähenee merkittävästi, kun ssh ei kuuntele standardiportissa, eikä user promptia näytetä, kun salasanakirjautuminen on pois käytöstä (sen sijaan näytetään avaimen salasanakysely, jos avain on hyväksytty ja salasana/lause on asetettu.)

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #15 : 11.11.16 - klo:14.00 »
[SSH-kirjautumisyritykset ovat kuitenkin sen verran mitätön ongelma muuhun verrattuna, että niiden vuoksi on turha yöuniaan menettää.

Minusta tämänkaltaisiin asioihin pitäisi kuitenkin kiinnittää jatkossa verkkojen kehittelyssä kiinnittää huomiota.
Lehdissä on ollut ihan kylliksi juttua esim DDOS-hyökkäyksistä, joilla on ajettu yhteiskunnalle kriittisiä palveluita jumiin.
Se, että minun serverini ovat jonkun mielenkiinnon kohteena on pieni juttu, mutta kertoo osaltaan, että kaikki netissä peuhaavat eivät ole ihan kilttejä.

Ehkä heitin tämän asian esille väärällä palstalla

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #16 : 11.11.16 - klo:14.27 »
Minusta tämänkaltaisiin asioihin pitäisi kuitenkin kiinnittää jatkossa verkkojen kehittelyssä kiinnittää huomiota.
Lehdissä on ollut ihan kylliksi juttua esim DDOS-hyökkäyksistä, joilla on ajettu yhteiskunnalle kriittisiä palveluita jumiin.

Kyllä, mutta DDOS-hyökkäykset ja SSH-palvelimet liittyvät toisiinsa vain sillä tavalla, että noilla kirjautumiskokeiluilla etsitään umpimähkään palvelimia, joihin voisi päästä sisään yksinkertaisella salasanalla. Jos rootin salasana on "password" tai "qwerty" ja kirjautuminen on sallittu, skripti pääsee sisään ja voi ottaa koneen mukaan DDOS-hyökkäyksessä käytettävään bottiverkkoon. Tämä on kuitenkin varsin epätodennäköinen skenaario, ja käytännössä bottiverkot muodostuvat muilla keinoilla kaapatuista koneista ja nettiin kytketyistä sulautetuista laitteista.

Avoimessa mailmanlaajuisessa tietoverkossa DDOS-hyökkäyksistä on ehkä vaikea päästä kokonaan eroon, mutta kyllähän näitä asioita mietitään ja tutkitaan monella taholla. Nettiin kytkettävien erilaisten laitteiden ja palveluiden tietoturvan parantaminen on toki hyvin olennainen askel, mutta SSH-palvelimet eivät ole siinä heikko lenkki. :)


Ehkä heitin tämän asian esille väärällä palstalla

Hyvinhän täälläkin syntyi keskustelua, vai millaisia vastauksia odotit?
« Viimeksi muokattu: 11.11.16 - klo:14.29 kirjoittanut nm »

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: Tietoturva, SSH, ping, DDOS
« Vastaus #17 : 14.11.16 - klo:09.17 »
Minusta tämänkaltaisiin asioihin pitäisi kuitenkin kiinnittää jatkossa verkkojen kehittelyssä kiinnittää huomiota.
Lehdissä on ollut ihan kylliksi juttua esim DDOS-hyökkäyksistä, joilla on ajettu yhteiskunnalle kriittisiä palveluita jumiin.

Avoimessa mailmanlaajuisessa tietoverkossa DDOS-hyökkäyksistä on ehkä vaikea päästä kokonaan eroon, mutta kyllähän näitä asioita mietitään ja tutkitaan monella taholla. Nettiin kytkettävien erilaisten laitteiden ja palveluiden tietoturvan parantaminen on toki hyvin olennainen askel, mutta SSH-palvelimet eivät ole siinä heikko lenkki. :)

Ehkä heitin tämän asian esille väärällä palstalla

Hyvinhän täälläkin syntyi keskustelua, vai millaisia vastauksia odotit?

Minusta kaikki reiät kannattaa miettiä, tutkia ja tukkia.
Maailmaa ei vie eteenpäin se, että mietiskely leimataan paranoidiaksi, ylimitoitetuksi tai foliohattu-jutuksi.
Moni asia olisi korjattavissa suhteellisen pienillä muutoksilla.

Yleensä asiat vaatisivat 'isojen poikien' kannanottoa ennen kuin niistä pääsee syntymään jotain nykyisen DHCP/DNS:n kaltaista.
Tälläistä 'Isojen poikien' piiriä ei kuitenkaan koskaan muodostu, ennen kuin asiat ovat jo karanneet käsistä.