Discussioni sul sistema operativo Linux
 

Tunnelling ot similia

sunoz 2 Set 2015 21:52
Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).

In questo serverino, ci tengo dati e programmi che mi servono al lavoro E PER
LAVORO (non *****eggi).

Li tengo li in quanto non voglio che me li possano copiare i colleghi.

Dall'ufficio mi collego (putty con win xp o col mio portatile personale,
linux), ci lavoro, e poi uso i risultati.

Dato l'affollamento ed il continuo tentativo di accessi di lamer et mafia
cinese, turca e chi_più_ne_ha_più_ne_metta, ho spostato la porta del
serverino ad un'altra (alta).

Ma ilfirewall aziendale non lo permette. *****ia praticamente tutto.

Ho fatto varie prove per fare un tunnel, ma non ci sono riuscito.

In pratica dovrei uscire dal firewall con una porta ammessa (80-443) ed andare
alla porta alta del mio serverino.

E' possibile?



--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
Leonardo Serni 2 Set 2015 22:01
On Wed, 2 Sep 2015 19:52:28 +0000 (UTC), sunoz <nomail@nospam.invalid> wrote:

>Dato l'affollamento ed il continuo tentativo di accessi di lamer et mafia
>cinese, turca e chi_più_ne_ha_più_ne_metta, ho spostato la porta del
>serverino ad un'altra (alta).

>Ma ilfirewall aziendale non lo permette. *****ia praticamente tutto.

Non ti conviene. Fai un'altra cosa: dato che il firewall aziendale uscirà
da una rete aziendale, attiva DUE porte per SSH, e la porta 22 mantienila
aperta solo per le comunicazioni in ingresso dalla rete aziendale.

Leonardo
--

Some say the world will end in fire; / some say in ice.
From what I’ve tasted of desire, / I hold with those who favor fire.
But if it had to perish twice, / I think I know enough of hate
To say that for destruction ice / Is also great, / And would suffice.
sunoz 2 Set 2015 23:03
Leonardo Serni <lserni@gmail.com> wrote:
> Non ti conviene. Fai un'altra cosa: dato che il firewall aziendale uscirà
> da una rete aziendale, attiva DUE porte per SSH, e la porta 22 mantienila
> aperta solo per le comunicazioni in ingresso dalla rete aziendale.

Capisco, ma volevo evitare di avere 17000 (diciassettemila_e_passa) righe di log
al giorno...
... E per diversi giorni di fila...
Fail2ban sul raspberry blocca (ed anche iptables se voglio), ma il firewall del
router logga!
Ed ultimamente, ci si sono messi IP di famosi providers italiani a scassare...
E sul router non posso consentire l'accesso ad un servizio da un solo ip
specifico.


--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
Leonardo Serni 3 Set 2015 01:07
On Wed, 2 Sep 2015 21:03:11 +0000 (UTC), sunoz <nomail@nospam.invalid> wrote:

>Leonardo Serni <lserni@gmail.com> wrote:
>> Non ti conviene. Fai un'altra cosa: dato che il firewall aziendale uscirà
>> da una rete aziendale, attiva DUE porte per SSH, e la porta 22 mantienila
>> aperta solo per le comunicazioni in ingresso dalla rete aziendale.

>Capisco, ma volevo evitare di avere 17000 (diciassettemila_e_passa) righe di
log al giorno...
>... E per diversi giorni di fila...

>Fail2ban sul raspberry blocca (ed anche iptables se voglio), ma il firewall del
router logga!

Mi spiego: in uno scenario hai il Pi con la 22/tcp che _NON ASCOLTA_ perché
sshd ascolta sulla (diciamo) 39817. Questo è quel che vorresti fare tu.

Nell'altro scenario hai il Pi con la 22/tcp che _NON ASCOLTA_ perché arriva
roba dall'IP sbagliato.

Tutto quel che ti serve di fare, è essere sicuro che iptables blocchi i SYN
esattamente nello stesso modo di una porta chiusa, con RST secco e ìsati (a
parte che IMVHO un -j DROP nel 99% dei casi funzionerebbe altrettanto bene:
un attaccante si avvede che c'è qualcuno che lo sta rimbalzando, ma proprio
per questo cosa dovrebbe fare? Continuare? Sarebbe furbo di nulla).

Se il router non logga, nel primo scenario, tu stai pur certo che non logga
neanche nel secondo, escludendo poltergeist e interventi soprannaturali.

E se ti logga nel secondo, allora mettere sshd sulla porta 65539 :-) non ti
aiuta: perché l'imbecille remoto che cerca la porta 22 arriva sul router, e
si fa loggare.

Leonardo
--

Some say the world will end in fire; / some say in ice.
From what I’ve tasted of desire, / I hold with those who favor fire.
But if it had to perish twice, / I think I know enough of hate
To say that for destruction ice / Is also great, / And would suffice.
enoquick 3 Set 2015 04:53
Il 02/09/2015 14:52, sunoz ha scritto:
> Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).
>
> In questo serverino, ci tengo dati e programmi che mi servono al lavoro E PER
> LAVORO (non *****eggi).
>
> Li tengo li in quanto non voglio che me li possano copiare i colleghi.
>
> Dall'ufficio mi collego (putty con win xp o col mio portatile personale,
> linux), ci lavoro, e poi uso i risultati.
>
> Dato l'affollamento ed il continuo tentativo di accessi di lamer et mafia
> cinese, turca e chi_più_ne_ha_più_ne_metta, ho spostato la porta del
> serverino ad un'altra (alta).
>
> Ma ilfirewall aziendale non lo permette. *****ia praticamente tutto.
>
> Ho fatto varie prove per fare un tunnel, ma non ci sono riuscito.
>
> In pratica dovrei uscire dal firewall con una porta ammessa (80-443) ed andare
> alla porta alta del mio serverino.
>
> E' possibile?
>
>
>

l' opzione -L di ssh puo fare al caso tuo ?
E' per un port forward, in pratica un tunnel

http://ubuntuguide.org/wiki/Using_SSH_to_Port_Forward
oppure
http://www.noah.org/wiki/SSH_tunnel
Dottor Mistero 3 Set 2015 05:57
Il 02/09/15 21:52, sunoz ha scritto:

> E' possibile?

Io uso ssh sulla 443 praticamente dappertutto, e associato a un paio di
righe di iptables piuttosto lasche per evitare i curiosi.

tunnel di saluti
writethem 3 Set 2015 07:40
> Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).

> Dall'ufficio mi collego (putty con win xp o col mio portatile personale,
> linux), ci lavoro, e poi uso i risultati.

Per aumentare la sicurezza di SSH, cambiare porta fa poco o niente. Hai
sostanzialmente due strade:

- implementare l'autenticazione con certificato (internet è piena di howto)

- accedervi solo in vpn (e openvpn su raspberry ci gira perfettamente)


In alternativa potresti approfondire il concetto di port knocking,
ovvero inviare una serie di "bussate" a porte prestabilite con una
sequenza prestabilita che ti consente di aprire la porta reale di
comunicazione. https://it.wikipedia.org/wiki/Port_knocking
Lorenzo Mainardi 3 Set 2015 14:02
fail2ban è tuo amico :P

Se proprio sei paranoico, comprati una Yubikey e configura l'autenticazione a
due fattori.
https://developers.yubico.com/yubico-pam/Yubikey_and_SSH_via_PAM.html
Dottor Mistero 3 Set 2015 16:39
Il 03/09/15 07:40, writethem ha scritto:

> Per aumentare la sicurezza di SSH, cambiare porta fa poco o niente. Hai
> sostanzialmente due strade:

Per aumentare la sicurezza no, ma per uscire da un FW si eccome. :)

simulazione di saluti
syspkq 3 Set 2015 18:44
>
> In pratica dovrei uscire dal firewall con una porta ammessa (80-443) ed andare
> alla porta alta del mio serverino.
>
> E' possibile?
>
>
>


non e' la tua richiesta, ma valuta il port knocking

--- news://freenews.netfront.net/ - complaints: news@netfront.net ---
THe_ZiPMaN 3 Set 2015 22:20
On 02/09/2015 23:03, sunoz wrote:
> Leonardo Serni <lserni@gmail.com> wrote:
>> Non ti conviene. Fai un'altra cosa: dato che il firewall aziendale uscirà
>> da una rete aziendale, attiva DUE porte per SSH, e la porta 22 mantienila
>> aperta solo per le comunicazioni in ingresso dalla rete aziendale.
>
> Capisco, ma volevo evitare di avere 17000 (diciassettemila_e_passa) righe di
log al giorno...
> ... E per diversi giorni di fila...
> Fail2ban sul raspberry blocca (ed anche iptables se voglio), ma il firewall
del router logga!

E qui entriamo in un altro campo che è quello dell'eccesso di informazione.
Troppa informazione = nessuna informazione.
Perché il firewall logga? Il logging del firewall ha una qualche utilità
per te? Quale vantaggio ti da sapere che 100 IP cinesi hanno provato a
fare una scansione del tuo server?

Il logging sul router è sostanzialmente inutile... redirigerlo in
/dev/null è una cosa sensata da fare. Si dovrebbero loggare unicamente
le informazioni necessarie e per il tempo necessario affinché siano
utili. Il logging dei tentativi di connessione alla 22 sono utili se usi
fail2ban o simili per intraprendere delle azioni; il logging dei
tentativi fatti sulla porta 143 se non hai un server di posta non ti
serve a nulla... tanto non c'è nulla in ascolto e un semplice drop di
iptables risolve qualsiasi preoccupazione. In compenso se lasci il
logging abilitato quel che ottieni è che avrai log enormi pieni di
informazioni inutili e anche le poche informazioni possibilmente utili
passeranno sottotraccia.

> Ed ultimamente, ci si sono messi IP di famosi providers italiani a scassare...
> E sul router non posso consentire l'accesso ad un servizio da un solo ip
specifico.

Ma lo puoi fare sul device linux. Che è meglio.


--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Max_Adamo 12 Set 2015 15:30
Il Wed, 02 Sep 2015 19:52:28 +0000, sunoz ha scritto:

> Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).
>
> In questo serverino, ci tengo dati e programmi che mi servono al lavoro
> E PER LAVORO (non *****eggi).
>
> Li tengo li in quanto non voglio che me li possano copiare i colleghi.
>
> Dall'ufficio mi collego (putty con win xp o col mio portatile personale,
> linux), ci lavoro, e poi uso i risultati.

[CUT]

> E' possibile?

- ssh come Serni comanda (iptables e porte diverse)
- ssh con port knocking
- ssh con fail2ban
- openvpn

in realtà, se hai disabilitato il login di root, e usi una utenza che non
sia john, george, ******* sei comunnque in una botte di ferro. Beccare la
combinazione utenza/password mi pare una impresa abbastanza ardua.

Con OpenVPN hai il vantaggio che puoi usare tutti i servizi in modo
abbatanza trasparente. Altrimenti ho visto magheggi su come inoltrare
anche il traffico UDP attraverso un tunnel ssh.... due palle però.

Copia&Incolla da stackoverflow:
# mkfifo /tmp/fifo
# sudo nc -l -u -p 53 < /tmp/fifo | nc localhost 6667 > /tmp/fifo

--
Massimiliano Adamo
Max_Adamo 12 Set 2015 15:42
Il Sat, 12 Sep 2015 13:30:04 +0000, Max_Adamo ha scritto:

> Il Wed, 02 Sep 2015 19:52:28 +0000, sunoz ha scritto:
>
>> Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).
>>
>> In questo serverino, ci tengo dati e programmi che mi servono al lavoro
>> E PER LAVORO (non *****eggi).
>>
>> Li tengo li in quanto non voglio che me li possano copiare i colleghi.
>>
>> Dall'ufficio mi collego (putty con win xp o col mio portatile
>> personale,
>> linux), ci lavoro, e poi uso i risultati.
>
> [CUT]
>
>> E' possibile?
>

[SNIP]

quasi mi dimenticavo il blasonatissimo GateOne :)
E' un applicazione Web, che fornisce accesso SSH. E' bello, perché puoi
aggiungere l'autenticazione Gmail, e consentire l'accesso solo al tuo
account. Una volta dentro con l'account Gmail, otterrai la schermata di
login SSH.
Ti registra anche le sessioni (crea un video in html5, con l'history della
sessione).
Se usi un account non autorizzato (che comunque non arriverà alla
schermata di login), ti fornisce tutti i dettagli su quell'account Gmail.

METTO PERO' LE MANI AVANTI: è scritto in Python e su raspberry usa
parecchia CPU. L'ho rimpiazzato con OpenVPN, che è utilizzabile da linux,
windoze, android...

--
Massimiliano Adamo
Nobusama 12 Set 2015 23:01
sunoz wrote:


> In questo serverino, ci tengo dati e programmi che mi servono al lavoro E
> PER LAVORO (non *****eggi).
>
> Li tengo li in quanto non voglio che me li possano copiare i colleghi.
>
Bravo! Incarni perfettamente lo spirito dell'opensource e della condivisione
:D :D

Non ti basta aprire la 22 solo agli ip che ti interessano (ufficio, casa,
ecc ecc) ?
sunoz 12 Set 2015 23:54
Max_Adamo <maxadamo@usenet.cnntp.org> wrote:
> Il Wed, 02 Sep 2015 19:52:28 +0000, sunoz ha scritto:
>
>> Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).
>>
>> In questo serverino, ci tengo dati e programmi che mi servono al lavoro
>> E PER LAVORO (non *****eggi).
>>
>> Li tengo li in quanto non voglio che me li possano copiare i colleghi.
>>
>> Dall'ufficio mi collego (putty con win xp o col mio portatile personale,
>> linux), ci lavoro, e poi uso i risultati.
>
> [CUT]
>
>> E' possibile?
>
> - ssh come Serni comanda (iptables e porte diverse)
> - ssh con port knocking
> - ssh con fail2ban
> - openvpn
>
> in realtà, se hai disabilitato il login di root, e usi una utenza che non
> sia john, george, ******* sei comunnque in una botte di ferro. Beccare la
> combinazione utenza/password mi pare una impresa abbastanza ardua.
>
> Con OpenVPN hai il vantaggio che puoi usare tutti i servizi in modo
> abbatanza trasparente. Altrimenti ho visto magheggi su come inoltrare
> anche il traffico UDP attraverso un tunnel ssh.... due palle però.
>
> Copia&Incolla da stackoverflow:
> # mkfifo /tmp/fifo
> # sudo nc -l -u -p 53 < /tmp/fifo | nc localhost 6667 > /tmp/fifo
>

Rispondo cumularmente a te, riferendomi anche agli altri post. In questo
periodo non sono stato in ufficio... La crisi...

Fail2ban ce l'ho già attivo, ed infatti i log dei tentativi sono
discretamente lunghi.

Il port knoking, visto le poche porte (di sicuro) aperte (e quindi le poche
combinazioni da giocare) non mi piace.

Openvpn? Ma (credo) che poi si veda la 22 aperta.
Potrei usare la 443..

L'idea di Serni mi piace, sto pensando come attuarla, tuttavia, il raspberry
ascolta in ssh su una porta alta e sto cercando di capire come fare
filtro+nat.

Mi spiego:

raspberry in ascolto ssh sulla 22222 (mi serve anche in locale, ma anche se lo
uso dall'hotel dove pernotto in viaggio)

router aperto sulla 22 e natta su, diciamo 11111 (come appoggio)

faccio una regola sul raspberry come dice Serni, in ascolto sulla 11111

faccio un nat sul raspberry dalla 11111 (che permette solo l'IP dell'ufficio)
alla 22222.....

Iptables in che ordine esegue le regole filtro e nat?


--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
Max_Adamo 13 Set 2015 02:51
Il Sat, 12 Sep 2015 21:54:25 +0000, sunoz ha scritto:

> Openvpn? Ma (credo) che poi si veda la 22 aperta.
> Potrei usare la 443..

openvpn usa UDP 1194, ma può funzionare anche su TCP e la porta 443
andrebbe benissimo.

Tieni presente che tutte le aziende di questo mondo che usano la VPN
avranno una porta aperta in ascolto per consentire l'accesso
potenzialmente dal mondo intero.
E nel caso di openvpn, le paranoie stanno a zero, perché, no certificato,
no party (openvpn può funzionare con "CA + Password", "solo password", "CA
+ certificati client").

Tu userai un unico ******* di configurazione per il client, con i certificati
embedded nel ******* di configurazione del client e ti potrai connettere con
win, linux, android

Io trovo che openvpn funziona benino e l'azienda dove lavoro adesso
consente il traffico openvpn in uscita. Tra un mese cambio lavoro e se il
traffico dovesse essere bloccato, userò la porta 443.

L'unico problema è il "trasporto" del ******* di configurazione. Inizialmente
lo avevo salvato su google drive. Ma dopo 3 giorni non mi è più piaciuta
l'idea, ho rigenerato nuovi certificati e ho caricato il ******* nella SD di
android (non so ancora se è il posto migliore, ma è abbastanza pratico).

Altra soluzione: ho scoperto che hamachi è di nuovo free per meno di 5
computer. Tieni presente che è beta e ha degli strani blocchi.


--
Massimiliano Adamo
sunoz 13 Set 2015 23:33
THe_ZiPMaN <spam@zipman.it> wrote:
> Il logging sul router è sostanzialmente inutile... redirigerlo in
> /dev/null è una cosa sensata da fare. Si dovrebbero loggare unicamente

E qui ti sbagli.

Se sei impestato con un rootkit, il log del router (ammesso che non sia
impestato pure lui) ti permette di accorgerti del problema. E ti posso
assicurare, (per esserci passato) che in certi casi è il solo campanello che
squilla.

> utili. Il logging dei tentativi di connessione alla 22 sono utili se usi
> fail2ban o simili per intraprendere delle azioni; il logging dei

Appunto,!

Ma non solo la 22, un log ti permette di vedere se hai fatto una qualche
*****ata, e ti permette di correre ai ripari (se fai in tempo).

> logging abilitato quel che ottieni è che avrai log enormi pieni di
> informazioni inutili e anche le poche informazioni possibilmente utili
> passeranno sottotraccia.

No log = no le poche informazioni utili (grep awk filtrano)

Chiaro che non me ne frega nulla se 100 cinesi mi bersagliano la 58240, non ho
nulla li, ma se tra i log, vedo una mitragliata ad un range di IP in uscita...
Perchè vedi, non sono solo i log in entrata che mi preoccupano...



--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
sunoz 13 Set 2015 23:36
Nobusama <steve@amiciscemi.org> wrote:
> Bravo! Incarni perfettamente lo spirito dell'opensource e della condivisione
> :D :D
In quei programmi, girano dati sensibili...


--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
THe_ZiPMaN 14 Set 2015 00:53
On 13/09/2015 23:33, sunoz wrote:
> THe_ZiPMaN <spam@zipman.it> wrote:
>> Il logging sul router è sostanzialmente inutile... redirigerlo in
>> /dev/null è una cosa sensata da fare. Si dovrebbero loggare unicamente
>
> E qui ti sbagli.
>
> Se sei impestato con un rootkit, il log del router (ammesso che non sia
> impestato pure lui) ti permette di accorgerti del problema. E ti posso
> assicurare, (per esserci passato) che in certi casi è il solo campanello che
> squilla.

Se hai loggato le informazioni necessarie e per il tempo necessario te
ne accorgi senza difficoltà. Perché come ho scritto non è che vada
buttato tutto. Semplicemente va loggato il sensato.

Loggare le connessioni in uscita sulla 80 o sulla 443 o sulla 53
normalmente non ha alcun senso. Sono perlopiù connessioni lecite e
oscurano le connessioni illecite. Vuoi verificare di non avere rootkit?
Allora loggi solo le connessioni comunemente usate dalle reverse shell,
o la 666x per IRC se temi di avere un bot e non usi IRC, ecc.ecc.
Se hai un web server è inutile loggare le connessioni alla porta 80...
hai già i log del web server per quello.

>> utili. Il logging dei tentativi di connessione alla 22 sono utili se usi
>> fail2ban o simili per intraprendere delle azioni; il logging dei
>
> Appunto,!
>
> Ma non solo la 22, un log ti permette di vedere se hai fatto una qualche
> *****ata, e ti permette di correre ai ripari (se fai in tempo).

Lo abiliti per testare la configurazione e poi lo disabiliti.

>> logging abilitato quel che ottieni è che avrai log enormi pieni di
>> informazioni inutili e anche le poche informazioni possibilmente utili
>> passeranno sottotraccia.
>
> No log = no le poche informazioni utili (grep awk filtrano)

No log <> log sensato

> Chiaro che non me ne frega nulla se 100 cinesi mi bersagliano la 58240, non ho
> nulla li, ma se tra i log, vedo una mitragliata ad un range di IP in uscita...
> Perchè vedi, non sono solo i log in entrata che mi preoccupano...

Se hai queste preoccupazioni forse dovresti ragionare in maniera diversa
la tua organizzazione della sicurezza. Se non posso fidarmi allora
chiudo tutto e lascio aperto solo l'indispensabile loggando il "di più".
Ma non riempi alcun disco con quel logging.


--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Nobusama 14 Set 2015 08:55
sunoz wrote:

> Nobusama <steve@amiciscemi.org> wrote:
>> Bravo! Incarni perfettamente lo spirito dell'opensource e della
>> condivisione
>> :D :D
> In quei programmi, girano dati sensibili...
>
Però scusa se sono dati aziendali non mi pare correttissimo parcheggiarli
fuori dal perimetro di sicurezza dell'azienda.

Ovviamente parlo per quel poco che posso capire, se non c'entra una fava
libero di cestinare la mia risposta-
Max_Adamo 10 Ott 2015 16:34
Il Wed, 02 Sep 2015 19:52:28 +0000, sunoz ha scritto:

> Ho un serverino fatto con un raspberry che ascolta(va) in ssh (22).

puoi anche usare le one time password con google authenticator.
C'è una libreria pam per linux e su ubuntu si chiama:
libpam-google-authenticator



--
Massimiliano Adamo

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.