verejna ip - bezpecnost
ahoj vsem,
rad bych se zeptal. nove v praci vyuzivam verejnou IP adresu. kvuli tomu jsem si poridil novy router - mikrotik (tady jste mi pomahali s vyberem) - ktery umi vpn. nechal jsem si mikrotik a vpn a vzdalene plochy nastavit od profesionala. vse funguje jak ma.
a tady bych se rad zeptal na bezpecnost takove verejne ip adresy. ja se na mikrotik divam pres jejich winbox. tam v logu vidim uz pres 100 pokusu o prihlaseni (asi tedy pres webove rozhrani). vidim tam ip adresy ze kterych to zkouseji, vidim uzivatelska jmena, kterymi to zkouseji.
chci se zeptat, jestli cela bezpecnost stoji a pada se silnym heslem. chci rict, ze vim, ze heslo mam skutecne silne, nicmene, zajima me, jestli jsou i jine moznosti utoku na verejnou ip a nejde jen o silne heslo. a jak vubec prisli na to, ze je na internetu nova verejna ip. jak se o ni dozvedeli? namatkou jsem se dival, odkud zkouseji prihlaseni a je to povetsinou panama, holandsko..
dekuji moc
jen doplnim. to pripojeni nezkouseji pres webove rozhrani, ale log vypisuje TCP connection established..
muzete mi rict, jak to delaji?
Zákaz prihlásenie na winbox, web, ssh mimo vpn rozhrania.
Telnet zákaz úplne.
jen pro uplnost. kdybych nechal telnet povoleny, i tak musi nejdrive utocnik znat heslo, aby se dostal na mirotik?
Samozrejme... pokiaľ by nevyužil nejakú zraniteľnosť v samotnej službe.
a je nekde v mikrotiku PREHLEDNE videt, co je zakazane a co povolene?
Pozri si services, tam môžeš povoliť aj IP rozsahy, ktorých majú byť tieto služby povolené.
Proskenovat cely internet (na vsechny IPv4 adresy) zase netrva tak dlouho, jak si mnozi predstavuji. A skripty jsou trpelive a je jich moc. Takze casem se na kazdou IP dostane - a jakmile se ukaze ze tam neco (cokoli) je, tak se to casem pokusi otevrit :)
Jde nejen o heslo, krome toho jsou ruzne zranitelnosti ruznych sluzeb (a kazdou chvili se najde nejaka dalsi). Takze krome silneho hesla to chce i ty zranitelnosti patchovat a mit spustene jen ty sluzby, ktere opravdu potrebuju a na firewalu osetrene co smi ven, co dovnitr a idealne i odkud (stylem nemam zakazniky v cine, ani rusku = co prijde odtamtud se automaticky zahodi bez cteni)
to je presne muj pripad. v podstate jde o pocitac, ktery je jako server, a pristupujeme k nemu jen 3 a to pres VPN a vzdalenou plochu. s technikem, ktery mi to nastavoval a ktery je z daleka, jsme se domluvili, ze necha povolenou jen VPN a vsechno ostatni zakaze. ale chtel bych to videt. ja ten pocitac mam u sebe doma a mam k nemu fyzicky pristup. na svem noteboku k nemu pristupuji take pres VPN a mam pristup fyzicky i k mikrotiku. poustim si i winbox take na notebooku, ktery mam nastaveny pro pristup k serverovemu pocitatci take pres VPN. ale chtel bych na vlastni oci videt, ze je skutecne vsechno krome VPN zakazane. jen to neumim poznat nebo najit.
predesilam, ze nedelam zasahy na mikrotiku, ale chci to umet cist
No tak vem notas, zajdi si do kavarny s verejnou wifi, nevytacej VPNku a zkus se pripojit na tu adresu a pozoruj, co se deje.
takze, jestli muzu jeste par veci..
trochu jsem patral a neco i dopatral a na neco odpovedi neznam..
nicmene, hodne se rozrostly snahy o prihlaseni. mikrotik mam nastaveny, ze se na nej lze prihlasit jen zevnitr. zakazal jsem ucet admin. trochu me zarazi, kdyz v logu vidim "the connection established from IP.." doslovny preklad preci je, ze spojeni navazano. znamena to, ze byl mikrotik napaden? myslim si ze ne, ale co tim chce log rict? nu a jeste tento dotaz. pokud by mi mikrotik skutecne napadli, jak bych to poznal? mam informaci, ze bych to videl v IP > DNS Settings, ale tam toho zrovna moc ke zmene nevidim. aby mi zmenili servers, to bych videl okamzite? dat si pozor jeste na neco?
co myslite?
Nie naviazane spojenie je len potvrdenie spojenia, neznamena to, ze sa niekto niekde nalogoval.
Ak sa v tom chces hrabat mozes si spravit trosjtupnove pravidla na fw na jednotlive sluzby...cize ak sa niekto 3x po sebe zle prihlasi na hocijaku sluzbu dostane napriklad 10 dnovy ban,
Tieo ip mozes zbierat na MT do address listu a pozerat sa ako sa utesene rozsituje;o).
koukam na to a co pokus, to jina IP. ale treba jen o 1. dela vzdy 6 pokusu po sobe, pak pauza a zas 6 pokusu. a IP adresu meni o jedno nahoru.
poznam nejak, kdyz mi nekdo ovladne MT?
Ano, neprihlasis sa donho;o).
myslel jsem, ze ho vetsinou se dela to, ze takova zarizeni ovladnou nepozorovane a ze pak treba maji dalsi zarizeni pro spamovani a nebo se jen monitoruje logovani a odchytavaji se citliva data. nebo tak neco
Blbost. Takto to robia profici, kinderhackeri sa prezradia hned (napr tym spamovanim).
Mna este nikdy nehackol profik...respektive mozno ano a dodnes o tom neviem.
Zato kinderkovia sa prejavili vzdy, a preto ich bolo pomerne lahke dostat zo systemu.
namátkou způsoby zabezpečení
- dlouhé -bezpečné - heslo nebo certifikát
- přihlašování na bázi challenge / response (aby nešlo triviálně generovat post požadavky odeslání formuláře) s logikou v javascriptu
Ale chytřejší je podle mě než dávat překážky/ztěžovat přihlášení, je tvářit se že žádné přihlášení neexistuje (nebude aktivní, neodpoví na TCP spojení) - do té doby, než provedeš nějakou sekvenci, která triggerne možnosti zpřístupnění loginu teprv.
- přihlašování jen z daného rozhraní
- přihlašování jen z dané(ých) IP
- přihlašování jen na daném portu (nebo port knocking/trigger) Například že nejdřív se pokusíš navázat spojení na port 2050,3210,2050,8000 během x sekund, router si tuto sekvenci zapamatuje a je to pro něj signál, že má pro tuto IP na x hodin povolí login (na jiném portě) . Nevýhoda= pokud vím není to standardizované a bude to nějak nutné na koleni programovat.
- přihlašování jen v určitou denní dobu