Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Jak mi tam pustite ssh a telnet?
- - Od CIJOML (>) Dne 2015-06-04 13:23
Panove zdravim, to ze mi tam rozjedete telnet mi nevadi, ale co se tyce ssh tak s tim mam problem ssh mi tam bezi a posloucha na 22 i na jinych portech. Nerad bych aby tato funkcionalita zmizela...Jak to bude resene?
Nadřazený - - Od Michal Vaner (>>) Dne 2015-06-04 13:54
Dobrý den

Nemusíte mít strach, na toto jsme mysleli ‒ přeci jen, mnozí z nás tam to SSH mají také. SSH honeypot bude ve výchozím nastavení zcela vypnutý a dokonce se bez požadavku uživatele ani neinstaluje. Pokud už máte port 22 obsazený, jednoduše honeypot neinstalujte.

Pro doplnění, telnetí minipot (v tomto případě se nejedná o plnohodnotný honeypot) se sice spustí automaticky, ale pokud by tam už telnet (nebo něco jiného) na portu 23 běžel, tak ten opravdový dostane přednost. A i ten telnet půjde vypnout, pokud by vám to takto nevyhovovalo.

S pozdravem
Nadřazený - Od PabloRadegast (>) Dne 2015-06-08 07:30
Dobry den,

dival jsem se do svych statistik a zjistil jsem, ze naprostou vetsinu vsech zachycenych paketu na Turrise dela port 445 (cca. 30-50%). Slo by udelat, respektive melo by smysl udelat Honeypot na tento port?
Nadřazený - - Od Jan Čermák (>>) Dne 2015-06-04 14:17
Ještě dodám - i pokud SSH honeypot aktivujete, bude interně běžet na nestandardním portu. Abyste útočníkům "umožnil přístup", bude nutné přidat jeden záznam do firewallu, kterým se tento port přesměruje na port 22 do světa. Nabízí se pak win-win řešení - na portu 22 mít honeypot a SSH si přesměrovat na nějaký port, který si budete pamatovat vy, ale nebudou na něj lézt SSH boti.

Ke všemu samozřejmě bude i návod v dokumentaci, takže by to neměl být problém nainstalovat i pro méně zkušené uživatele.
Nadřazený - - Od PabloRadegast (>) Dne 2015-06-05 07:41
Dobry den,
tak na ten navod se tesim. SSH na portu 22 mi uz bezi a pouzivam ho na pristup pres WinSCP pripadne Putty a o tento pristup bych nechtel prijit. Priznam se, ze ted netusim, jakym zpusobem si presmerovat moje SSH na jiny port a o SSH honeypot zatim stojim, protoze to bude zajimave sledovat, kdo a jak se mi snazi dostat do site (pokud se mu to vsak nepodari).
Momentalne mam otevreny port 22 na routeru z konkretni IP adresy, odkud z vnejsi site pristupuju. Predpokladam, ze toto pravidlo vezme za sve pri aktivaci SSH honeypotu, resp. bude otevreno vsem IP adresam a ne jenom te jedne konkretni.
Netusim ale jak prinutit Turriska, aby SSH bezelo na jinem portu. Kdyz presmeruju nejaky port, ktery si budu pamatovat na port 22, tak stejne docilim toho, ze se nenapojim pres SSH do Turrise ale do SSH honeypotu. Nebo se mylim?
Nadřazený - - Od PabloRadegast (>) Dne 2015-06-05 08:04 Upraveno 2015-06-05 09:53
Tak jsem to zkusil nastavit takto:

config redirect
  option enabled '1'
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp'
  option src_dport 'xyzm'
  option dest_ip '192.168.1.1'
  option dest_port '22'
  option name 'TurrisSSH'
  option src_ip 'xxx.yyy.zzz.mmm'

A zaroven jsem disabloval pravidlo na otevreni portu 22 do Turrisu:

config rule
  option target 'ACCEPT'
  option src 'wan'
  option name 'SSH'
  option proto 'tcp'
  option src_ip 'xxx.yyy.zzz.mmm'
  option dest_port '22'
  option enabled '0'

Takze jsem ted schopny se prihlasit do Turrise vzdalene pres SSH na jinem portu nez 22 (tj. na portu xyzm). Nejsem si ale jisty, jestli pri aktivaci SSH honeypotu na portu 22 nedojde pak pri snaze o pripojeni do Turrise spise o pripojeni do SSH honeypotu, kdyz ten sidli na portu 22.
Pokud je toto spatna cesta, necham se rad navest na spravny smer.
Nadřazený - - Od Jan Čermák (>>) Dne 2015-06-05 09:48
Dobrá práce, tohle je přesně ta cesta, kterou bude popisovat i návod. Při aktivaci SSH honeypotu služba, která bude přesměrovávat komunikaci do SSH honeypotu, bude sídlit na portu 58732 a pouze se nastaví přesměrování portu 22 na WAN -> 58732 na LAN. Takže pravidlo bude vypadat víceméně stejně (kromě té src_ip), jen src_dport bude 22 (= příchozí komunikace na portu 22 WAN) a dest_port 58732 (= přesměrovat na port 58732 na LAN). Zvenčí tedy na portu 22 uvidíte honeypot a opravdové SSH najdete na portu xyzm.
Nadřazený - - Od PabloRadegast (>) Dne 2015-06-05 10:01 Upraveno 2015-06-05 11:04
Tak to su stasne, ze sem to zvladl.
Dle infa, co mi doslo vcera se nejprve bude instalovat minipot pro telnet na portu 23. Soudim spravne, ze honeypot na portu 22 bude az v dalsi aktualizaci firmware?
Dale zminujete, ze novinky "do jisté míry ovlivní chování Vašeho routeru". Mame se obavat nejakeho vetsiho rizika ci pripadne nejakeho zpomaleni provozu s vnejsi siti?
Nadřazený - - Od Jan Čermák (>>) Dne 2015-06-05 10:22
Nikoliv, toto upozornění bylo rozesíláno mimo jiné z toho důvodu, aby uživatele nemátla skutečnost, že jim na portu 23 na WAN něco začalo přijímat komunikaci. Žadné riziko ovlivnění výkonu nebo bezpečnosti routeru by to přinášet nemělo.

Minipot na portu 23 a honeypot na portu 22 jsou dvě odlišné služby, které ale budou obě uvolněny v této (úterní) aktualizaci. Liší se ale v tom, že minipot se bude instalovat implicitně a honeypot bude nutné nainstalovat zakliknutím instalace seznamu balíků "SSH honeypot" v nastavení updateru (a ručně nastavit firewall).
Nadřazený - Od NONES (>>>) Dne 2015-06-05 13:25
Musím se přiznat, že se na úterní aktualizaci OS routeru opravdu těším. Zvlášť na ta data, která se na obou "potech" budou sbírat. Bude to poučná a zajímavá analýza.
Nadřazený - Od fojtp Dne 2015-06-09 12:26
nebo ponechani ssh na portu 22 a cokoliv co neni z "bezpecne" IP adresy (!x.x.x.x) smerovat na ssh-honeypot:

config redirect
        option enabled '1'
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'tcp'
        option src_dport '22'
        option dest_ip '192.168.1.1'
        option dest_port '58732'
        option name 'ssh_honeypot'
        option reflection '0'
        option src_ip '!x.x.x.x'

btw.. z ssh-honeypotu se neda "normalne" odlogovat?
Nadřazený - - Od Pipin Dne 2015-06-09 21:38
takže jestly to dobře chápu mužu udělat v firewallu port 22 otevřený do wan?
a jiný jen z lan ? protože tohle je uplná výhra :) hlavně pro ty meně zkušené ( boti ani neuvidí pravé ssh ktere je otevřené jen do lan(určitě sou takoví co scanujou všechny porty a služby na nic běžící) a uživatel bude mít ssh na jiném portu ale jen z lan ( většina lidí asi z wan neleze na ssh takže takhle (čistě teoreticky) by se dalo ošetřit to že ani náhodou si nezadám svoje správné heslo do potu) což mnoho BFU potěší :)
Nadřazený - Od Jan Čermák (>>) Dne 2015-06-10 09:55
Z LAN jsou v základním nastavení přístupné všechny služby, které na routeru běží a poslouchají buď na vnitřní IP routeru (tzn. nejčastěji 192.168.1.1) nebo na všech adresách. Do honeypotu se z LAN (= při přístupu na 192.168.1.1) nedostanete, ten poslouchá jen na adrese, která je na WAN. Jak to bude fungovat po nastavení firewallu je napsáno v dokumentaci. SSH ale bude stále při přístupu z LAN na portu 22, pokud neupravíte jeho konfiguraci.
Nadřazený - - Od PabloRadegast (>) Dne 2015-06-09 11:26
Dobry den,

tak SSH honeypot je uz nastaven i s presmerovani portu. Zajimalo by me, jestli je nejak nutne nastavovani presmerovani portu pro minipot, tj. port 23?
Nadřazený - - Od Michal Vaner (>>) Dne 2015-06-09 11:31
Dobrý den

Není, ten se řeší automaticky. A řeší se poněkud složitějším způsobem, aby to umělo ty „priority“ mezi minipotem a opravdovou službou.
Nadřazený - - Od commar (>>) Dne 2015-06-09 13:35
Můžu otestovat SSH honeypot tím, že se do něj pokusím připojit?
Nadřazený - - Od fojtp Dne 2015-06-09 13:41
jste to este nezkousel? :-p
Nadřazený - Od commar (>>) Dne 2015-06-09 13:47
Psst, už jo! :evil:
Nadřazený - - Od PabloRadegast (>) Dne 2015-06-09 13:51
Dobry den,

ja se uz zkousel pripojit a slo to. Bohuzel jsem zadal skutecne heslo. Da se to nejak zkontrolovat, jestli se zapsalo nekam do souboru, ktery se pak v noci odesila? Rad bych to smaznul. Nebo se to tyka jenom minipotu, kam se zapisuji i hesla, pokud je takto zvolene?
Nadřazený - Od commar (>>) Dne 2015-06-09 13:54
Já dal admin/admin a taky to šlo... :evil:
Ale odpojit nešlo, na exit nereaguje, musel jsem natvrdo...
Nadřazený - Od Jan Čermák (>>) Dne 2015-06-09 14:33
Dobrý den,

s tím bohužel nic (kromě ručního zásahu do DB, který by byl ale vcelku komplikovaný - navíc už nezabrátníte tomu, že někdo Vaše heslo uvidí) nelze dělat. Vyplývá to z podstaty funkce (našeho) SSH honeypotu: na routeru samotném se nic neukládá, ten pouze transparentně přesměruje spojení na náš server, kde útočník (resp. v tomto případě Vy) komunikuje s virtuálním systémem honeypotu Kippo. Jediné, co teď mohu doporučit, je si toto heslo změnit.

I u minipotů to nefunguje tak, jak uvádíte - je několik událostí, které spustí odeslání dat na server, přičemž nejdéle to trvá v případě, že nejstarší záznam v minipotu je 30 minut starý. Ten záznam je držen v paměti procesu, takže může pomoct restart služby ucollect, ale stoprocentní to není - viz například modelová situace, kdy se někdo jiný připojil před 29 minutami a pak se připojíte Vy. Sice po dvou minutách od Vašeho připojení restartujete uCollect, ale záznamy jsou již odeslané, protože uběhlo 30 minut od toho prvního přístupu.
Nadřazený - Od jirig Dne 2015-06-10 11:03
Jen do záznamu, kdyby se někdo stejně jako já snažil honeypot otestovat, ale nešlo mu přihlásit se: Zdá se, že past funguje pouze na uživatele root. Dokonce ani skutečný falešný uživatel richard se dovnitř nedostane :cry:
Nahoru Téma Majitelé routerů / Technická podpora / Jak mi tam pustite ssh a telnet?

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill