Portál AbcLinuxu, 7. června 2024 22:07


Dotaz: Útoky přes ssh - zjištění IP

5.5.2008 23:14 Pavel David | skóre: 11
Útoky přes ssh - zjištění IP
Přečteno: 1260×
Odpovědět | Admin
Dobrý večer, mám AP ovislink Wl-5460 do kterého jsem nahrál Straightore firmware konkrétně 1.6.0. Ap je nastaveno na režim Stanice s NATem.

Na wan mám nastavenou veřejnou IP a IP lanové části obstarává dhcp server kombinovaný se statickými ip adresami. Na lanové části sítě (vnitřní síti za natem) mám umístěný webserver se statickou IP adresou a tento pc (tato IP) je umístěn(a) do demilitarizované zóny. Na serveru je nainstalováno ssh.

Můj problém spočívá v tom, že se mi někdo pokouší nabourat do serveru přes ssh. Chtěl bych nějak zjistit jeho IP ale když se podívám do logů serveru, tak se mi tam ukáže pouze ip adresa vnitřní brány. Je nějaký způsob jak zjistit ip adresu útočníka, abych ho mohl odstřihnout? Co musím kde nastavit?

Kdyby to byl jen jeden pokus, tak bych to přešel, ale ty útoky se stupňují a nevím, jestli to dělá jen jeden člověk! Přístup přes sshčko potřebuji neomezený, protože se připojuji z různých míst v republice.

Děkuji za odpovědi.

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

6.5.2008 08:27 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky přes ssh - zjištění IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Chtěl bych nějak zjistit jeho IP ale když se podívám do logů serveru, tak se mi tam ukáže pouze ip adresa vnitřní brány.
To máte nějak divně nastavený NAT, pravděpodobně se dělá SNAT – je to nutné?
Kdyby to byl jen jeden pokus, tak bych to přešel, ale ty útoky se stupňují a nevím, jestli to dělá jen jeden člověk!
Pokud by to dělal jeden člověk, bude zkoušet nějaké specifické útoky na známé chyby, a pokud by zjistil, že tím neprojde, vykašlal by se na to (případně by zkusil jiné služby). Útoky pokoušející se přihlásit nějakým známým jménem a heslem jsou ale běžné a přicházejí z různých napadených počítačů. Pomůže povolit přihlašování pouze klíčkem a nastavit limit na počet neúspěšných pokusů o přihlášení: 
PasswordAuthentication no
MaxAuthTries 6
Řešení 1× (Pavel David (tazatel))
6.5.2008 08:47 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Útoky přes ssh - zjištění IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zkuste jako dodatečnou ochranu použít port knocking. Funguje to takhle:

- Port SSH je v základním nastavení blokovaný firewallem. - Na firewallu běží "port knocking daemon", který tiše čeká na určitou domluvenou sekvenci paketů ("zaklepání"). Po přijetí této tajné sekvence otevře port SSH pro IP adresu, ze které tyto pakety přišly na nějaké časové okno (typicku 1 minuta). - Útočník, který scannuje vaši síť a nezná otevírací sekvenci se tak vůbec nedozví, že na tom stroji nějaké SSH vůbec běží. - A naopak, pokud útočník tuto sekvenci zjistí a použije, víte že vás odposlouchává a je potřeba to řešit.

Informace a programy pro port-knocking se dají vygooglit, potřebné nástroje možná máte ve své distribuci.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.