Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Turris - otevření portu 22 na firewallu Turrisu z WAN
- - Od NONES (>>>) Dne 2014-05-21 16:59
Četl jsem tu v mnoha vláknech o povolení SSH portu na Turrisu z WAN - třeba pro vzdálenou správu routeru odkudkoli. Systémově k tomu mám výhrady, protože si nemyslím, že by to byl dobrý nápad. Alespoň podle mých statistik zachycených paketů firewallem jich největší podíl míří na port 22 a předpokládám, že když ho povolím, přestane se ve statistikách zobrazovat, protože firewall už tyto pakety nebude zahazovat. Nezkreslí se něco důležitého ve statistikách projektu? Pak také nevidím důvod, co tak důležitého bych potřeboval v routeru nastavit, aby to nepočkalo, až budu připojen na nějakém zařízení ve vnitřní LAN síti, z mého pohledu bezpečné pro úkony takového typu, jako je správa routeru. Jaký na to máte názor vy ostatní?
Nadřazený - - Od commar (>>) Dne 2014-05-21 18:13
Já jsem si to zatím povolil, i když vím že to z hlediska bezpečnosti není nejlepší,
nastavil jsem si v Pravidlech síťového provozu přístup jen z IP adresy z práce.
Mám docela silné heslo (malé, velké a čísla) takže zatím to pokouším.
Občas se připojím, i přes WinSCP, není to taky nic co by nepočkalo,
až opadne ten počáteční chuť se v tom pořád rýpat, zakážu si to. :evil:
Nadřazený - - Od horada (>) Dne 2014-05-21 19:33
O kolik je "bezpečnější" otevřít pro ssh nějaký vyšší port? Chápu že 2222 je docela profláklý... ale přeci jenom jich máme nějakých 65k a když mám vybraný nějaký ne tak očividný? (+ samozřejmě bezpečné heslo...)

btw: logují se někde neúspěšné pokusy o přihlášení?
Nadřazený - - Od NONES (>>>) Dne 2014-05-21 19:41
Kazdy alespon trosku inteligentni scanner portu vam bezici sluzbu na otevrenem portu rozpozna, i kdyz bezi na nestandardnim (tedy ne na tom svem) portu.
Nadřazený - - Od horada (>) Dne 2014-05-21 19:44
To jo... ale jde mi o to jaký je poměr slepého střílení na port 22 a systematického skenování portů? Oskenovat u každého hosta 65k portů bude trvat déle než vyzkoušení několika známých čísel... nebo se pletu?
Nadřazený - Od NONES (>>>) Dne 2014-05-21 19:51
Si to vyzkoušejte sám, jak dlouho trvá scan celého rozsahu TCP portu (0-65535) viz. http://nmap.online-domain-tools.com/
Nadřazený - - Od Michal Vaner (>>) Dne 2014-05-22 08:43
Při cíleném scanování dané IP adresy určitě. Ale pokud je útočníkovým cílem získat co nejvíce strojů a ne zrovna ten daný, pak je výhodnější oscanovat 65k IP adres na port 22, než 65k portů na jednom stroji. Šance, že někdo, kdo si nedokáže nastavit kloudné heslo bude vědět, jak to přestěhovat na jiný port je také spíše menší.
Nadřazený - Od lzita (>) Dne 2014-05-22 09:28
S tím souhlasím. Mám podobnou zkušenost z Windows RDP, kde pokud otevřete přímo port 3389 tak je tam násobně více pokusů o brute-force útok, než když ten port přesměrujete někam nahoru nad 10000.
Nadřazený - - Od Jan Čermák (>>) Dne 2014-05-26 08:42 Upraveno 2014-05-26 08:47
Ten port scanner ale pořád musí projet těch 65k portů, případně se do toho Vašeho nestandardního portu trefit. A pak už se většinou jedná o cílený útok (resp. přípravu na něj) na Váš router. Drtivá většina toho, co je ale vidět v zalogovaných paketech, jsou masové scany nebo útoky, které už směřují na konkrétní porty.

Edit: Ehm, nějak jsem si nevšiml prakticky stejného příspěvku od Michala Vanera :red: Tak aspoň k druhé části přechozí otázky - neúspěšné pokusy by se měly logovat do /var/log/messages.
Nadřazený - - Od NONES (>>>) Dne 2014-05-26 16:40
Tak jo, díky za Vaše názory. Nechystáte připravit nějaký návod na nastavení bezpečného vzdáleného připojení k jednotlivým službám routeru (SSH, Foris, LUCI) se zohledněním Vámi doporučovaných pravidel (např. přesměrování defaultního SSH portu na nějaký nestandardní vyšší). Byl by to Vámi autorizovaný dokument a pokud by se mi někdo naboural do routeru, mohl bych říct: "Ale já jsem to měl nastavené správně, to mi poradil pan Čermák a pan Vaner!!!":lol::lol:
Nadřazený - Od Jan Čermák (>>) Dne 2014-05-26 17:01
Nic takového aktuálně v plánu nemáme. Snad brzy by ale měl být uveřejněn balíček, pomocí kterého bude možné si aktivovat HTTPS pro přístup do Lighttpd, díky němuž by mělo být vzdálené připojení do administrace routeru v principu bezpečnější. Ale i tady hraje obrovskou roli lidský faktor, a tak reálná bezpečnost často víc než na správném nastavení záleží na tom, zda používáte dostatečně silná hesla, v případě přístupu k SSH pak lépe klíče, a zda se k těmto údajům nedostane třetí strana...
Nadřazený - Od fanoush Dne 2014-05-23 17:38 Hlasů 1
jeste je reseni port knocking
Nadřazený - - Od PabloRadegast (>) Dne 2014-05-22 19:27
At nezakladam nove vlakno, tak se zeptam tady. Rad bych do presmeroval http Turise z portu 80 na jiny treba 22 nebo 443, ale netusim, jak to udelat. Jde mi o to, ze port 80 treba muzu potrebovat vyhledove na NASu pro sve webove stranky. Jak donutim Turris, aby poslouchal na jinem portu?
Nadřazený - - Od horada (>) Dne 2014-05-23 07:20
Dobrý den,
jde vám o to aby webové rozhraní turrise ve vnitřní síti běželo na jiném portu? Nebo aby k němu byl přístup z venku, ale aby byl dostupný na jiném portu? Nebo oboje dohromady?

ad1) - to bude v konfiguraci lighttpd (/etc/lighttpd/lighttpd.conf) - teď trochu střílím od boku, ale mohlo by stačit změnit:
  server.port = 12345
a
  $SERVER["socket"] == "[::]:12345" {  }
(Něco možná bude k nalezení tu: https://www.turris.cz/forum/topic_show.pl?tid=195)

ad2) - já jsem podobnou věc (zachování ssh na vnitřní síti na portu 22, ale umožnění z venku přístup přes jiný port) vyřešil následovně:
Luci - Network -> Firewall - Port Forwards:
  Name = Turris z venku
  Protocol = TCP
  External zone = wan
  External port = 12345
  Internal zone = lan
  Internal IP address = 192.168.1.1
  Internal port= 80
Nadřazený - - Od PabloRadegast (>) Dne 2014-05-23 16:58
Dobry den,

jde mi o tu druhou variantu. Mam jeste jednu mozna hlupou otazku. Nemam totiz statickou IP adresu, takze bych pristupoval pres DDNS a to konkretne DuckDNS. Pak bych v pripade, ze budu pristupovat pres port 12345 musel napsat za adresu http://mojedomena.duckdns.org jeste dvojtecku a cislo portu 12345, kdyz se predpoklada, ze kdyz vyuziju protokol http, tak chci pristupovat pres port 80? Preposle sluzba DDNS dal to cislo portu?
Vyzkousel bych to hned, ale z externi site bych mel pristup az v pondeli z prace. Kazdopadne dekuji za nakopnuti.
Nadřazený - - Od horada (>) Dne 2014-05-24 06:05
Bude to přesně jak to říkáte http://mojedomena.duckdns.org:12345 (možná by stálo za to rozjet to přes https ať to internetem neběží nešifrovaně) - duckdns do toho vůbec zasahovat nebude, od něj získáte jenom aktuální IP adresu - ten odkaz http://mojedomena.duckdns.org:12345 už putuje přímo k turrisovi.
Nadřazený - - Od PabloRadegast (>) Dne 2014-05-28 16:33
Dobry den,

vsechno uz mi funguje tak, jak ma a ve firewalu mam nastaveno presmerovani portu 443 na 80. Jenom bych mel jednu otazecku aka BFU. Kdyz port 443 je vlastne rezervovan pro sluzbu https, neni pak jedno jestli napisu zvenku http://mojedomena.duckdns.org:443 nebo https://mojedomena.duckdns.org?
Nadřazený - Od horada (>) Dne 2014-05-28 16:41
Dobrý den,
To že v prohlížeči napíšete https://... v prvé řadě znamená že se má to spojení šifrovat (to že se automaticky použije port 443 je až vedlejší efekt) - pokusí se o to a zjistí že dostane nesmyslnou odpověď... takže to fungovat nebude.

(Když už je ale nyní možné přistupovat k rozhraní přes https (viz poslední aktualizace) ... tak bych asi raději zvolil to, místo http.)
Nadřazený - Od palikv.mojeid.c (>) Dne 2014-05-24 06:15
Já port změnil tady: /etc/lighttpd/lighttpd.conf

######### Options that are good to be but not neccesary to be changed #######

## bind to port (default: 80)
server.port = 5001

## bind to localhost (default: all interfaces)
#server.bind = "localhost"

stejně se ale nevyhnete pravidlu ve firewallu. Takže, když si přesměrujete jakýkoliv vámi vybraný port na port 80 vašeho routeru, udělá to stejnou službu a nemusíte měnit lighttpd.conf.
- - Od Jiří Kunc Dne 2014-05-21 19:44 Hlasů 1
Řeším to tak, že se ke své síti připojím VPN-kou no a pak už můžu přes ssh na router.
Nadřazený - Od vlk Dne 2014-05-21 22:53 Upraveno 2014-05-21 23:25
Z mého pohledu je to prašť jako uhoď ... openvpnd nebo sshd ... jakýkoliv otevřený port bude bezpečný tak dlouho, dokud se ve službě která na něm visí nenajdou vrátka :-). Jak už tady někdo uvedl, stinnou stránkou může být log plný útoků, statisticky možná více směrovaný na SSH. Můj názor je ten, že je potřeba nebýt paranoidní úplně ale jen zdravě :-) a obecně považuji přístup přes SSH2 (certifikátem) za poměrně bezpečný. Mám SSH přístupné zvenčí a tím pádem univerzální přístup k zařízení, přístup na jiné porty a služby, např. WWW rozhraní routeru, řeším opět přes SSH tunelováním portů. A ano, pokud v SSH někdo objeví chybu a útočník bude rychlejší než já s opravou, turris půjde pápá :-)
Nahoru Téma Majitelé routerů / Technická podpora / Turris - otevření portu 22 na firewallu Turrisu z WAN

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill