Uživatelské nástroje

Nástroje pro tento web


SSH honeypot – HaaS

Od verze Turris OS 3.9 je služby dříve známá jako SSH honeypot integrována do služby HaaS – Honeypot as a Service. HaaS je veřejně přístupná služba a je tedy dostupná i uživatelů, kteří nemají router Turris. Více informací ke službě HaaS naleznete přímo na jejích webových stránkách, kde naleznete podrobné informace o útocích na váš router a různé statistky. V tomto článku naleznete více informací o tom, k čemu SSH honeypot slouží a jak službu využít na routerech Turris.

Background

SSH je jeden ze základních protokolů ve světě *nixových strojů, který se používá ke komunikaci mezi stroji, na kterých běží SSH server. SSH server je povolen v podstatě na každém domácím routeru a to často bez vědomí uživatele. V jistých případech běží místo SSH serveru Telnet, což je po bezpečnostní stránce mnohem horší, protože ten posílá a přijímá data v plaintextu.

Protože výrobci velmi zřídka aktualizují svůj firmware, šance, že na vašem routeru běží stará a nezabezpečená verze SSH serveru jsou velké. Čas od času se vydává nový CVEs (Common Vulnerabilities and Exposures), jako například #sambacry and #dirtycow. Výrobcům většinou nezáleží na tom jestli existuje případné bezpečnostní riziko nebo jsou někde otevřená zadní vrátka a místo aktualizování starého zařízení vám výrobce routeru často řekne, abyste si koupili nový. Tohle jsme chtěli s Turris Omnia změnit.

Abychom věděli, kdo jsou případní útočníci, jaké používají metody a ze kterých IP adres útočí, používáme SSH honeypot. Ve zkratce to je „nepravý“ SSH server na který úmyslně necháme útočníky se připojit a sledujeme jejich chování.

Informace, které nám jsou dostupné:

  • Z jaké IP adresy se útočník připojil
  • Jaké ověření k připojení použil
  • Chování útočníka
  • Skripty, které útočník v honeypotu pustil

Na čím více cílů útočníci zaútočí, tím více o nich budeme mít informací a a tím větší je šance, že je odhalíme, zablokujeme (nebo opravíme postižená zařízení) a publikujeme o nich informace.

Jak se s Turrisem nebo Omnií připojit k HaaSu

Pokud jste byli ve službě SSH honeypot registrování než se HaaS stal oficiální službou, stačí pouze přejít na oficiální stránku služby HaaS, kde naleznete statistiky ke všemu, co se ukládá pod vaším uživatelským profilem. Přihlaste se pomocí stejných přihlašovacích údajů, která jsme používali k přihlášení do Projektu Turris nebo pomocí MojeID.

Instalace

Pro zprovoznění služby je třeba povolit sběr dat a stáhnout balíček SSH honeypot:

1. V uživatelském rozhraní Foris, přepněte se pod záložku Sběr dat tab, zaklikněte “Povolit sběr dat” a a validujte svůj email.

2. Rovněž ve Forisu, pod záložkou Updater zaklikněte balíček SSH honeypot a potvrďte.

Balíček se automaticky stáhne a instaluje.

3. Pokračujte na stránky HaaSu, kde se přihlásíte pomocí emailu a hesla, když jste se přihlásili do Projektu Turris přes tuto stránku.

Na stránkách HaaSu v sekci Můj Honeypot pod Moje zařízení byste už měli vidět svůj router Turris a objeví se tam i ostatní zařízení, která se rozhodnete registrovat. Klikněte na konkrétní zařízení a uvidíte seznam sezení a můžete také zobrazit seznam útočníkem použitých příkazů.

Příklad sezení: Příklad seznamu použitých příkazů:

Přesunutí SSH serveru na jiný port

Pokud používáte pro vzdálený přístup k routeru SSH na portu 22, bude nutné provést jeho přesměrování. Takto lze docílit stavu, kdy bude při připojení ze vzdálené adresy na port 22 (tzn. přes rozhraní WAN) provoz směřovat do honeypotu a opravdový SSH server bude dostupný na jiném portu. Změna portu může být vnímána jako jednoduchá ochrana před pokusy o vniknutí. Nejedná se ale o skutečné zabezpečení a proto je stále žádoucí používat pro přihlašování silné heslo, nebo ještě lépe přihlašování veřejným klíčem.

Postup pro nastavení je stejný jako pro přesměrování portu 22 na honeypot, lišit se budou pouze tato políčka:

  • Jméno: SSH redirect
  • Vnější port: (číslo od 1 do 65535)
  • Vnitřní port: 22

Číslo vnějšího portu pak je nutné zadat vždy při připojování z vnějšku na router (při připojování z vnitřní sítě bude SSH stále dostupné na portu 22). Z praktických důvodů je pak lepší volit čísla, na kterých nejsou běžně provozovány jiné služby na protokolu TCP. Pozor, v případě, že nezadáte číslo portu a použije se výchozí hodnota 22, budete se připojovat do honeypotu, který může zaznamenat Vaše heslo! I z tohoto důvodu je tedy vhodné přihlašovat se pouze pomocí veřejného klíče.