Accesso dalla rete esterna in modo sicuro al lampone

Naviga le tue risposte
1

Sto implementando un sistema di allarme domestico con il lampone e ho bisogno di accedervi dalla rete esterna. L'idea iniziale era di usare la cascata VPN e ssh (nella mia università per connettermi al cluster dovevo prima connettermi alla rete dell'Università e quindi usare ssh). Ma se tramite VPN mi connetto all'indirizzo del lampone allora non posso dare comandi via ssh perché sono in 'local', no? ... Quindi dovrei usare ssh più fail2ban o usare VPN. Ma potrei essere calmo con uno di questi due metodi? Posso usare ACL da qualche parte? Non sarebbe bello se qualcuno potesse aprire il cancello o accedere alle telecamere ...

    
posta dang92 12.09.2018 - 09:42
fonte

1 risposta

1

Immagino che tu abbia citato un'università come punto di riferimento per l'ambiente e che non stia prendendo in considerazione la censura. Ma un server OpenSSH funzionerà bene qui. Anche se non è consigliabile, suppongo che userete l'utente root , assicuratevi che venga utilizzata una password rispettabile, questo vale per qualsiasi utente autorizzato all'accesso SSH. Se l'autenticazione della password (tastiera interattiva) non è adatta a te, consulta l'autenticazione della chiave pubblica, utilizzando ED25519 521-bit o RSA 4096-bit.

Riguardo a /etc/ssh/sshd_config , indurisci quanto segue: 

  Port 30000
  LogLevel VERBOSE
  LoginGraceTime 120 
  PermitRootLogin yes 
  PermitEmptyPasswords no
  # Ideal session timeout
  ClientAliveInterval 600
  ClientAliveCountMax 0
  # Enhanced Authentication
  KexAlgorithms diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp521
  Ciphers aes256-ctr,aes128-ctr
  MACs hmac-sha2-512,hmac-sha2-256
  AllowUsers root

Vorrei sottolineare che il CTR è preferito su CBC per l'esclusiva OpenSSH, vedi: ' Attacchi di recupero in testo normale Contro SSH '. La porta utilizzata per l'SSH è la tua scelta se esposta a Internet usa una porta non standard, a causa delle botnet.

Fail2Ban è una scelta valida per la protezione da forza bruta. Considera la seguente configurazione: 

[ssh]
enabled = true
filter = sshd
port    = 3000
bantime = 600
findtime = 120
maxretry = 5
logpath = /var/log/auth.log

Ovviamente regolati in base alle tue esigenze, in quanto i bantimes lunghi possono essere un problema se ti blocchi per sbaglio. Inoltre, consiglierei di mantenere Fail2Ban abilitato se l'autenticazione della chiave pubblica è abilitata. Poiché ridurrà il traffico in caso di forza bruta botnet e quindi il consumo della CPU.

Verifica la tua configurazione con $ hydra -l root -P /root/rockyou.txt 192.168.1.100 -t 4 ssh dove rockyou.txt è una lista di parole. Questo per garantire che la protezione da forza bruta funzioni correttamente. È possibile generare un elenco di parole con john o crunch o scaricarne uno. Inoltre, utilizzando nmap assicurati che le sole porte aperte siano quelle che desideri siano esposte alla tua interfaccia di rete.

Anche se non lo espanderò, OpenVPN è un'altra opzione praticabile, ma lo considero solo su SSH quando ho bisogno di eludere la censura.

    
risposta data 12.09.2018 - 14:32
fonte

Leggi altre domande sui tag

È sicuro installare Xampp per apprendere i test di sicurezza e penetrazione usando DVWA? [duplicare] Fai in modo che l'applicazione utilizzi le credenziali crittografate da un file [duplicato]