Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Útoky na router.
- - Od PabloRadegast (>) Dne 2014-06-03 07:00
Zdravím,
nedávno jsem si všiml v Systémovém logu, že se mi množí útoky na můj Turris (viz. příklad):

2014-06-03T03:28:19+02:00 info sshd[22282]: Failed password for root from 61.174.51.229 port 49432 ssh2
2014-06-03T03:28:19+02:00 info sshd[22284]: reverse mapping checking getaddrinfo for 229.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.229] failed - POSSIBLE BREAK-IN ATTEMPT!
2014-06-03T03:28:19+02:00 info sshd[22282]: Failed password for root from 61.174.51.229 port 49432 ssh2

2014-06-02T22:04:07+02:00 err sshd[5506]: error: Could not get shadow information for NOUSER
2014-06-02T22:04:07+02:00 info sshd[5506]: Failed password for invalid user recepcio from 95.60.254.52 port 56310 ssh2
2014-06-02T22:04:07+02:00 info sshd[5506]: Received disconnect from 95.60.254.52: 11: Bye Bye [preauth]
2014-06-02T22:04:08+02:00 info sshd[5512]: reverse mapping checking getaddrinfo for static-52-254-60-95.ipcom.comunitel.net [95.60.254.52] failed - POSSIBLE BREAK-IN ATTEMPT!
2014-06-02T22:04:08+02:00 info sshd[5512]: Invalid user laboratorio from 95.60.254.52
2014-06-02T22:04:08+02:00 info sshd[5512]: input_userauth_request: invalid user laboratorio [preauth]

IP adresy se průběžně mění, jakož i čísla portů, ale všechno to je z Číny. Pro jistotu mám nastavené docela dost složité heslo jak ve Forisu, tak i v Luci. Zajímalo by mě, jestli to je normální, jestli máte taky takovou zkušenost a jestli je třeba se nečeho obávat a případně, jestli něco nastavit pro větší bezpečnost. Dříve jsem měl TP-LINK TL-WR542G a tam snad ani log nebyl, takže co oči nevidí, to srdce nebolí, ale je možné, že ty útoky byly i tam.
Nadřazený - - Od Michal Vaner (>>) Dne 2014-06-03 08:02
Dobrý den

Ano, to je normální. Jakmile někde do internetu kouká ssh, boti na lámání hesla se na to sesypou jako kobylky. Kromě silného hesla lze doporučit povolit jen autentikaci certifikátem (pokud Vám nepřijde příliš nepohodlná) a přesun ssh na jiný port. Každopádně, jediné větší nebezpečí je, že by to heslo opravdu „uhodli“.
Nadřazený - - Od NONES (>>>) Dne 2014-06-03 08:12 Upraveno 2014-06-03 08:21
V teto souvislosti bych se rad zeptal na pripravovanou funkci Honeypot. Bude fungovat primo na routeru, nebo si na to mam vyclenit v LAN siti nejaky starsi pocitac, kam by byl potencionalni utocnik presmerovan pro sve dalsi radeni?

Jeste by mne zajimalo, jestli uz jsou nekde zverejneny statistiky utoku na jednotlive porty routeru. V mem pripade je nejcasteji utoceno na porty 22, 1433 a 23. Tak mne zajima, jestli je to tak statisticky i u ostatnich routeru a proc je tak zajima zrovna port 1433. Ze by SQL a SSH byly nejderavejsi nebo z hlediska zaplatovani nejvice opomijene sluzby?
Nadřazený - Od Jan Čermák (>>) Dne 2014-06-03 09:40
Žádné detailní informace k honeypotu zatím říct nemohu, ale rozhodně nebude nutný pro jeho provoz vlastní HW.

Globální statistiky najdete na hlavním webu projektu: https://www.turris.cz/cs/global-stats/
Od Vašich statistik se budou značně odlišovat z toho důvodu, že mnoho routerů zapojených do systému nemá veřejnou IP adresu, a tak se na firewallu zachytává úplně jiný provoz.

Oblíbenost Vámi uváděných portů podle mě nespočívá vyloženě v děravosti daných služeb (z hlediska děravosti SW), ale spíš v tom, že pokud je zde bezpečnost opomíjena (žádná, jednoduchá či výchozí hesla, atp.), útočník získává přístup k celému systému nebo alespoň jeho velmi zajímavé části.
Nadřazený - - Od havrosh Dne 2014-06-03 16:36
Pokud se na svuj router spojujes pouze z nekolika malo duveryhodnych siti tak omezit pristup k portu na FW pouze pro urcite adresy
Nadřazený - - Od PabloRadegast (>) Dne 2014-06-03 18:10
Myslite nejak takto?

config redirect
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp'
  option src_dport '443'
  option dest_ip '192.168.1.1'  --adresa Turrise
  option dest_port '443'
  option name 'HTTPS'
  option src_ip '193.86.xxx.xxx'  --adresa pocitace, ze ktereho budu pristupovat (treba z prace)
Nadřazený - - Od havrosh Dne 2014-06-03 20:59
Asi tak.
Taky mam ssh posazene na 443, kvuli firemnimu fw
Nadřazený - Od Panelacek Dne 2014-06-16 22:54
ja to resim podobne. Mam doma NTB, ktery jede skoro porad a firewall forwarding, ktery z Turrise:443 forwarduje na localni:22 a odtud se pak neni problem dostat dal.

Reseni je taky VPN, kde pak neni potreba otevirat dvere utokum vubec a staci nechat pristup jenom z lokalni site (VPN).
Nahoru Téma Majitelé routerů / Technická podpora / Útoky na router.

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill