Спустя больше года с момента прошлого выпуска представлен релиз сканера сетевой безопасности Nmap 7.90, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. В состав включено 3 новых NSE-скрипта для обеспечения автоматизации различных действий с Nmap. Добавлено более 1200 новых сигнатур для определения сетевых приложений и операционных систем...Подробнее: https://www.opennet.me/opennews/art.shtml?num=53829
закрываешь абсолютно все порты абсолютно для всех
@
пользуешься port knocking-решениями, посылая на рандомные порты зашифрованные udp-пакеты, обмазавшись gpg
@
получив пакет, сервер открывает ssh на 10 секунд и только для твоего айпи -- успей залогиниться!
@
никакие кул-хацкиры больше не страшны, можно даже оставить PasswordAuthentication yes и PermitRootLogin yes. Пароль для удобства ставим qwerty
Пароль в таких условиях вообще не нужен. Как и всё остальное, в принципе. Будет очень неудобно, когда доступ нужен из любой точки планеты, и серверов много. Очень упростит доступ проникнувшим на роутер злоумышленникам.
> пользуешься port knocking-решениями, посылая на рандомные порты зашифрованные udp-пакеты, обмазавшись gpgи злодей имеет шанс без всякого ssh зайти через дыру в gpg или бэкдор в port knock-ере.
Чтобы не быть голословным поясню. Обычно доступ открываю только для доверенного шлюза, но как-то понадобилось организовать вход напрямую с любых адресов. После того как поизучал имеющиеся популярные port knocking системы, пришёл к выводу, что аудитом там и не пахло и безопасность кода очень сомнительна, в условиях, что обработчики запускаются под root и слушают трафик. Есть вероятность словить переполнение буфера при разборе пакетов или бэкдор. Поэтому на коленке написал простой защищённый паролем web-скрипт, который записывает в файл IP при обращении и потом вызываемый по крону другой скрипт открывает порт для этого IP на какое-то время.
> Чтобы не быть голословным
> Есть вероятностьНеплохая неголословость.
> записывает в файл IP при обращении
Твой запрос к "web-скрипту" может быть перехвачен МИТМ-мужиком и полностью им ретранслирован без изменений. Тогда доступ будет открыт ему, а не тебе. Все-таки иногда лучше пользоваться
проверенными решениями, где изучению вопроса уделяли больше 20 минут.> защищённый паролем
gpg encrypt/sign куда надежнее пароля.
> по крону другой скрипт
Зачем крон, когда есть firewall-cmd --timeout=10s --add-rich-rule="...".
> Твой запрос к "web-скрипту" может быть перехвачен МИТМ-мужиком и полностью им ретранслирован без изменений.Пусть попробует TLS-сеанс ретранслировать.
> Все-таки иногда лучше пользоваться
проверенными решениями, где изучению вопроса уделяли больше 20 минут.
Я совсем не уверен, что они проверены, а не написаны также на коленке и слепо не подхвачены другими. К тому же некоторые готовые решения переусложнены и содержат много лишнего. У других код тянется и передаётся по рукам много лет и проще написать своё с нуля, чем проводить аудит.
> gpg encrypt/sign куда надежнее пароля.
Это первый эшелон защиты и привлекать в него gpg излишне и ведёт к риску компрометации через сам gpg. Ключи проверяются на стадии ssh, выносить их на стадию открытия доступа к порту нет смысла.
> Зачем крон, когда есть firewall-cmd --timeout=10s --add-rich-rule="...".
Здесь принцип "чем проще и меньше внешних сущностей и абстракций, поведение которых напрямую не контролируется, - тем лучше".
А зачем TLS ретранслировать? Почти уверен, что у вас нет проверки, кем выдан сертификат. Тогда прекрасно сработает атака по принципу работы cloudflare: MITM, сертификат с летсенкрипта, декодируем payload и кодируем заново.
Как вы получите сертификат на мой домен? Такой уязвимости не нашли ещё в летсэнкрипт.
Https прокси же как-то работают. Сертификат не совпадает, если проверить, но кто ж это будет делать сегодня? Браузеры вот не делают.
> Браузеры вот не делают.ЧИВО?
Пожалуйста, я всегда раз просветить безграмотность. Это особенность реализации https-прокси. Пару лет назад эту технологию (secure proxy или как-то так называется) поддерживали только хром и фф (и они оба не показывали, что трафик на деле подписан mitm сертификатом, а оригинальный защищён только до mitm), потом добавили поддержку в curl и этот уже жаловался на расхождения и ему нужно было указать параметр для игнорирования.
Изначально исхожу из возможности MITM-атаки, когда атакующий где-то "рядом" с сервером. Тогда получу точно так же, MITM-ом - перехвачу запросы от letsencrypt-а к веб-серверу.Если считать это невозможным, тогда и в принципе можно не запариваться так сильно.
Ворота посреди пустыни, вот все ваше решение.
Вы не контролируете железо, вы не провели адит всего софта и не делаете инкрементальный адит при обновлениях и вообще поди бинарными пакетами обновляетесь, у вас софт не изолирован всякими чрутами, селинксами, капсиумами, маками и прочим, у вас не подписанный загрузчик и нет секуребута и тп....
Но почемуто считаете что вас обязательно взломают через брут по ссш - это даже не смешно, это как минимум фиксация, из психиатрии.Отдельно скажу что бесят те кто еще и icmp режет.
Есть такое понятие, как модель угроз. Поэтому выходя в магазин вы не завариваете дверь, а запираете ее на ключ, но на два поворота, а не на один. Учите матчасть.
> Есть такое понятие, как модель угроз.Это понятие появилось пару десятилетий назад. Его придумали "эффективный менеджеры" чтобы впаривать лохам дырявые, недоделанные, частичные решения безопасности.
> Учите матчасть.
Вот и учи: DoD 5200.28-STD Supersedes CSC-STD-001-83, dtd 15 Aug 1983 Library No. S225,711 DEPARTMENT OF DEFENSE STANDARD DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA DECEMBER 1985 - о модели угроз речи нет, только чесная оценка реального уровня безопасности.
> Это понятие появилось пару десятилетий назад.Планирование защиты появилось не пару десятилетий назад, что за чушь.
Вы бы лучше сами матан подтянули, тогда бы осилили подчитать какое время потребуется на брут адекватного пароля хотя бы в 8 символов при зажержке ответа хотя бы в 1 секунду и лимите одновременных логонов в 32.И потом, все эти любители кноканья портов, изображающие из себя сетевых партизан-нинзя, просто неуловимые джо, которые никому не интересны.
Целевые атаки с брутом это даже не единицы процентов от того что стоит ожидать.
Угумс. Запираешь ты такой дверь на два оборота и оставляешь форточку на проветривание.
Особенно смешно применение модели с запиранием квартиры к сетевой секурити ... тут надо совсем нифига не понимать сути.
Если строить подобную "модель", дак на надо ее правильно строить, и выглядеть она будет примерно так: комната будет иметь десятки дверей, часть из которых вы не можете контролировать, а часть просто не видите, надеясь лишь на строителей.
Упрощение моделей это лишь следствие либо не понимания темы, либо скудоумия.
Закрытие порта ssh для всего мира делается прежде всего для первого эшелона защиты в случае выявления дыры в OpenSSH. Защита от брута вторична. Закрытие ssh также имеет смысл на многопользовательских системах, где вы не можете контролировать пароли других пользователей, которые вполне могут один пароль, даже семантически надёжный, использовать на куче других сервисов, а ключи могут утечь при локальных взломах их систем.
В случае дыр в OpenSSH вы будете далеко не самой интересной и приоритетной целью.
И таких дыр было за 20 лет по пальцам пересчитать.На многопользовательских системах никто не мешает либо отключить вход по паролю для всех кроме избранных, либо задействовать двухфакторный вход.
У меня стойкое ощущение что вы не читали man sshd_config и просто не знаете что там много чего настраивается.
Надеюсь самый защищенный web-скрипт запускается от nobody!?!?!
это разовое решение, тем более, что без учета intel me amt vpro
Вот у меня везде можно руту с паролем, пароль несколько сложнее вашего, не вижу ни единого повода так заморачиватся кнокингом и даже просто меня 22 на чтото другое.
В опенссш есть все необходимое чтобы делать брутфорс не благодарным занятием, да и неизвестный хост в сети не настолько интересен чтобы после проверки двух десятков популярных пар трать на него силы.Но раньше было очень забавно - отключаешь RSA крипту и смотришь как боты почти все не могут, сейчас наоборот длинный рса хостовый ключ заставляет ботов отмирать на вычислениях :))
> не вижу ни единого поводаПостоянный скан замусоривает логи.
>...закрываешь абсолютно все порты абсолютно для всехНе расслабляйся! Бэк-доры никто не отменял...
Херня это все, админ влан рулит, повесил ssh только на административный IP и в логах тишина обеспечена.
fwknop
> обмазавшись gpgСпасибо, интересно и элегантно, но лучше продолжу аутентификацию по ключу, тем самым избавляясь от подобных цирковых трюков.
мне нечего скрывать
nmap - шедевр, как швейцарский нож... только лучше.
RPM - смогли
Deb - не шмагли
exe - смогли
Appimg - не шмагли
когда мы были маленькими и кульхацверными, был только S.A.T.A.N.и был он только под unix
эх, где те времена с ыыыксклюзивами
Главное что ебылды есть.
> Отличия от GPLv2 сводятся к добавлению нескольких исключений и условий, таких как возможность использования кода Nmap в продуктах под несовместимыми с GPL лицензиями после получения разрешения от автора и необходимость отдельного лицензирования поставки и использования nmap в составе проприетарных продуктов.Нашу свадьбу распространения бесплатного ПО только на условии GPL-2 ущемляют!
s/свадьбу/свободу/ , а вражеский спелчекер меняет слова на антонимы?!!
>Нашу свадьбу распространения бесплатного ПО только на условии GPL-2 ущемляют!Просто гпл уже достала автора, и тот решил вмешаться сам, пока левые фирмы не стали подавать в суд от его имени, не спросив его самого.
Вот нравится мне pf - одно правило и точка превращается в черную дыру. :)
ipf - всё так же.
gui и вспомогательные скрипты на python 3 переписали уже или ещё лет десять подождать?
https://packages.debian.org/bullseye/nmap
Ну и где тут в зависимостях питон и гуи?
Например вот здесь
sug: zenmap
Package not availableИнтересно даже, почему not available, они уже старый pygtk турнули из реп что ли? Если перейти в бастер или старее, только там есть.
Или вот здесь http://deb.debian.org/debian/pool/main/n/nmap/nmap_7.80+dfsg... в недопиленных (судя по до сих пор открытому https://github.com/nmap/nmap/pull/1484/files) патчах.
Вы, если пытаетесь аргументировать дебианом, не забывайте о том, что софтина, не распиленная на 50 пакетов по два файла в каждом, в нём вообще за пакет не считается, и надо всё дерево рыть.
>Добавлена опция "--discovery-ignore-rst"Вот сейчас роскомнадзору обидно было.
> необходимость отдельного лицензирования поставки и использования nmap в составе проприетарных продуктовРазве это не делает эту лицензию не совместимой с GPLv2? У GPLv2 же нет такого требования.