Vlákno názorů k článku
Na každý router Turris míří denně více než devět tisíc útoků
od Adam Přibyl - A to jako pocitaji co? Unikatni IP (botnetu),...
-
Měl jsem před pár lety zapnutý honeypod na ssh s tím, že jsem na tvrdo blokoval ruské, čínské a africké IP (z prostého důvodu, že z těchto zemí se rozhodně hlásit nebudu) takže ty do statistik nešly a i tak jsem denně zaznamenal řádově desítky unikátních IP. Většinou ze stejné IP přišlo několik pokusů (5-10). Takže bych řekl, že to jsou všechny pokusy dohromady nezávisle na IP. Ale můžu se mýlit, přeci jen je to už pár let..
-
Zmíněné číslo zahrnuje počty incidentů, které jsme klasifikovali jako útoky - tedy pokusy o přihlášení do SMTP, HTTP, FTP a Telnet honeypotů a firewallové skeny zahrnující alespoň 10 různých portů.
Číslo by samozřejmě vypadalo jinak, pokud bychom zvolili jinou klasifikaci. Pokud bychom například snížili počet portů ve skenu nebo nám místo pokusů o zadání jména/hesla stačilo pouhé připojení ke službě, celkové číslo by bylo násobně vyšší.
Šlo nám tedy hlavně o nastavení metriky tak, abychom mohli v budoucnu sledovat, zda toto číslo roste či klesá.
-
nejakou chvilku jsme pouzivali databaze problematickych ip ... jako feed do firewallu ale museli jsem to pak vypnout. Bohuzel se do databaze dostavali ip adresy, ktere by asi nemely. Treba server lets encrypt. Dlouho jsm eresili proc nam nejde obnova certifikatu a pak jsme zjistili toto. Ma s tim nekdo zkusenost? A jak se tam ty ip mohly dostat?
-
Puvodni system sberu a klasifikace utoku nahrazujeme novym (nazvanym Turris Sentinel). Pokud se to objevovalo v tom puvodnim systemu, tak to uz ted asi nezjistime. V Sentinelu by se takove adresy objevovat nemely a u kazde zverejnene adresy vedeme i duvody zverejneni. Pokud byste narazil na adresu, ktera by se tam byt nemela, muzete nam ji nahlasit.
Novy "greylist" najdete na https://view.sentinel.turris.cz/greylist-data/
Kazdopadne i pro tento greylist plati "disclaimer", ze by to nemelo byt pouzito jako seznam adres k blokovani, ale spise jako "reputacni databaze". Doporucujeme kombinovat vice zdroju, pripadne pouzit pro "throttling" apod.
Vojtech Myslivec
Turris tym -
HaaS stale funguje. Je to samostatna "aplikace" od laboratori CZ.NIC. Do Turrisu je integrovan HaaS-client.
Pro rozchozeni je jen potreba "registrace" na vyse linkovane strance a nastaveni tokenu zarizeni. V nove verzi Turris OS to bude uz pristupne v reForisu.
Podileni se na zasilani dat do Turris Sentinel je zatim mozne z Turris routeru, protoze pouzivame hardware Turrisu ("crypto cip") pro overeni odesilanych dat. Nicmene zvazujeme a resime moznosti, jak se zapojit i z jinych zarizeni, serveru apod.
Dynamicky firewall ma ale otevrene API a klienta je mozne nainstalovat "kamkoliv". Vice viz dokumentace a vzorova implementace.
Vojtech Myslivec
Turris tym6. 5. 2021, 19:50 editováno autorem komentáře
-
diky za odpoved. Me se podarilo dohledat jednu ip, ktera byla na seznamu
66.133.109.36,http
https://view.sentinel.turris.cz/greylist-data/archive/2021/greylist-2021-03-09.csv
-
Diky za report, poznamenal jsem si to a zkusime s tim neco vymyslet.
Dokazu si predstavit, ze si nekteri uzivatele vydavali Let's Encrypt certifikat pro Turris, i kdyz jim na portu 80 bezely minipoty. Urcite nemohlo jit o jeden pripad, to by se v Dynamickem firewallu/greylistu neobjevilo. Muselo jit o nekolik (desitek) routeru soucasne.
-
Smazaný profil
Možná další IP na prověření:
172.217.23.228 port_scanwww.google.com. 26 IN A 172.217.23.228
Mám nastaveno upozornění na komunikaci na IP na greylistu. S původním listem jsem viděl problém asi jednou, tady hned po přepnutí na sentinel. Možná je to legitimní nebo se ty IP generují jinak pro oba listy.
-
Proto by bylo fer napsat jak se to pocita.. na kazdem stroji s verejnou IP je samozrejme tisice neplatnych pokusu o prihlaseni napr. pres ssh (v podstate v zavislosti na rate limitu...). Ve vetsine pripadu se jedna o pokusy ze stovek ruznych IP casto na nekolik vybranych uzivatelskych jmen. Podle toho se da lidskym okem celkem snadno odhadnout, ze se jedna o jednoho utocnika, ktery se pomoci botnetu snazi vyzkouset zpravidla slovnikova hesla, coz bych klasifikoval jako jeden utok, nicmene chapu, ze strojove je to asi tezko uchopitelne, takze tim vzniknou ty tisice...
MMCH: pocitaji se do toho i skeny ruznych sluzeb jako shodan, censys, proki apod. ktere neustale prochazeji sit a hledaji zranitelna zarizeni?
