Comments 12
Никогда не открывайте наружу RDP и SSH, даже если вы прячете их за другими портами – это не помогает.
Это касается и домашний пользователей, мамкиных хакеров типа меня. 2 раза с интвервалом в 4 года обнаруживал атаку на проброшенный на ружу shh и rdp порты. Спас только параноидальный пароль и нестандартные имена пользователей. Сейчас уже через OpenVPN ходить нужно.
А есть какие-то хорошие ресурсы для настройки адекватной безопасности в домашней сети? Поднимать домашнюю безопасноть до корпоративно-параноидального уровня не хочется, но иметь минимальный чеклист для домашнего пользования было бы неплохо.
Я бы ответил следующим образом:
1. Забрутить RDP или SSH, торчащий наружу вопрос времени и, с развитием текущих мощностей и возможностей распределенного брутфорса — это часы и дни, а не годы. Ну и помимо этого есть еще непропатченные версии, дефолтовые пароли и учетки. Буквально недавно у одной из пилотируемых компаний (крупных) обнаружили tomcat tomcat в торчащем наружу сервисе и это не редкость
2. По безопасности домашней сети есть несколько тезисов:
— сейчас роутеры провайдеров стали очень и очень продвинутыми. Там и DMZ можно организовать и IPSEC построить и уж VPN поднять не проблема. В любом случае VPN всегда безопасней чем RDP/SSH. Да еще и сертификат выпустить можно на поднятом CA
— Если очень хочется открыть RDP, SSH наружу — открывайте для определенных IP, если используется статика для подключения к домашней инфраструктуре
— Уберите в настройках публикацию интерфейса администрирования в WAN интерфейс, так как на многих роутерах по умолчанию он торчит в интернет.
— Используйте скрытый SSID WiFi
— Меняйте пароли WiFi хотя бы раз в месяц
— И обязательно обновляйте прошивки железки. Взломанные микротики стали притчей воязыцех
1. Забрутить RDP или SSH, торчащий наружу вопрос времени и, с развитием текущих мощностей и возможностей распределенного брутфорса — это часы и дни, а не годы. Ну и помимо этого есть еще непропатченные версии, дефолтовые пароли и учетки. Буквально недавно у одной из пилотируемых компаний (крупных) обнаружили tomcat tomcat в торчащем наружу сервисе и это не редкость
2. По безопасности домашней сети есть несколько тезисов:
— сейчас роутеры провайдеров стали очень и очень продвинутыми. Там и DMZ можно организовать и IPSEC построить и уж VPN поднять не проблема. В любом случае VPN всегда безопасней чем RDP/SSH. Да еще и сертификат выпустить можно на поднятом CA
— Если очень хочется открыть RDP, SSH наружу — открывайте для определенных IP, если используется статика для подключения к домашней инфраструктуре
— Уберите в настройках публикацию интерфейса администрирования в WAN интерфейс, так как на многих роутерах по умолчанию он торчит в интернет.
— Используйте скрытый SSID WiFi
— Меняйте пароли WiFi хотя бы раз в месяц
— И обязательно обновляйте прошивки железки. Взломанные микротики стали притчей воязыцех
1. Забрутить RDP или SSH, торчащий наружу вопрос времени и, с развитием текущих мощностей и возможностей распределенного брутфорса — это часы и дни, а не годы.
Особенно, если пароли не используются. Почему вы не боитесь брута пароля на VPN, но боитесь на SSH?
— Используйте скрытый SSID WiFi
Напомните, пож., от чего это защищает?
По первому вопросу — VPN можно сделать с сертификатом (как я и указал в комменте) или onetimepass например, ну и брут VPN можно контролировать — рубить ip-шник или учетку при превышении количества запросов
По второму — прежде чем подобрать пароль, нужно узнать SSID )
По второму — прежде чем подобрать пароль, нужно узнать SSID )
SSH давно уже используется только с ключом, парольный вход выключается. Двухфакторка/вантайм к нему прикручивается ничуть не сложнее. Да и банальный fail2ban — стандарт де-факто уже с десяток лет. Причем для SSH он как раз стандарт из коробки, для VPN-ов придется настраивать. Но опять же, если вход по ключу (или сертификату в VPN) — смысла в блокировках особого нет.
Нет. Прежде, чем подобрать пароль, вам нужно захватить хендшейк. Я не знаю ни одной утилиты для этого, которую бы смутил SSID Cloaking. То же касается и атак на WPS. Потому что «скрытый SSID» — это просто флаг, его можно игнорировать.
Подобную практику принято относить к «вредным», на ряду с регулярной сменой системных паролей и перевешиванием сервисов на неродные порты — они не усложняют жизнь атакующим, но дают ложное чувство защищенности.
прежде чем подобрать пароль, нужно узнать SSID
Нет. Прежде, чем подобрать пароль, вам нужно захватить хендшейк. Я не знаю ни одной утилиты для этого, которую бы смутил SSID Cloaking. То же касается и атак на WPS. Потому что «скрытый SSID» — это просто флаг, его можно игнорировать.
Подобную практику принято относить к «вредным», на ряду с регулярной сменой системных паролей и перевешиванием сервисов на неродные порты — они не усложняют жизнь атакующим, но дают ложное чувство защищенности.
ОООк) продолжим
По SSH — все так, только VPN дает сильно больше и сильно проще, нежели SSH. Я не спорю, что SSH можно настроить безопасно, но с VPN с точки зрения доступа к корпоративной инфраструктуры возможностей сильно больше по использованию корпоративных ресурсов. Те компании, которые приходили к нам с просьбой расследовать, расшифровать не использовали сертификаты на ssh, более того, даже root не блочили. Куча ботов ежедневно сканит интернет по 445, 22, 3389 портам. И если 22 входит и его сканят — значит «если звезды зажигаются, значит это кому-то нужно» и есть профит от этого.
По WiFi — речь была про безопасность ДОМАШНЕЙ сети. И от соседа мальчика 12 лет cloaking вполне норм. Хэндшейк захватить — устройство нужно, которое коннектится, а днем, когда сосед-бездельник пришел со школы и ему скучно, многие работают и не юзают точку. В корпоративных сетях использовать пароль для точки WIFI очень странно, там совершенно по-другому строится защита. Надеюсь свои «вредные» советы пояснил
По SSH — все так, только VPN дает сильно больше и сильно проще, нежели SSH. Я не спорю, что SSH можно настроить безопасно, но с VPN с точки зрения доступа к корпоративной инфраструктуры возможностей сильно больше по использованию корпоративных ресурсов. Те компании, которые приходили к нам с просьбой расследовать, расшифровать не использовали сертификаты на ssh, более того, даже root не блочили. Куча ботов ежедневно сканит интернет по 445, 22, 3389 портам. И если 22 входит и его сканят — значит «если звезды зажигаются, значит это кому-то нужно» и есть профит от этого.
По WiFi — речь была про безопасность ДОМАШНЕЙ сети. И от соседа мальчика 12 лет cloaking вполне норм. Хэндшейк захватить — устройство нужно, которое коннектится, а днем, когда сосед-бездельник пришел со школы и ему скучно, многие работают и не юзают точку. В корпоративных сетях использовать пароль для точки WIFI очень странно, там совершенно по-другому строится защита. Надеюсь свои «вредные» советы пояснил
Существует ли HoneyPot, имитирующий SSh-сервер, выставленный наружу без защиты? Причём такой, чтобы взломщик далеко не сразу догадался, что ему подсунули пустышку: т.е. этот HoneyPot должен как бы нормально реагировать на команды локальной работы и даже как бы позволять коннеектиться к разным сервисам локальной сети, которая тоже имитируется.
Cowrie, например
Sign up to leave a comment.
ИБо нефиг: лучшие ИБ-разоблачения 2020-го по версии JSOC