Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.

1. Zabezpečení nejen SSH na serveru
pomocí Fail2Ban a jednoduchého
honeypotu
Jan Lipovský, Security Session '16
Brno, 02.04.2016

2. 2
Zabezpečení serveru
● silná hesla
● používání certifikátu pro přihlášení na SSH (délka klíče 4096 bitů)
● povolení specifických portů - iptables
● nastavení Failt2Ban
● nastavení honeypotu
● udržovat systém aktuální

3. 3
Zabezpečení serveru – hesla
● instalace systému (vytvoření VPS)
– nastavení hesla superuživatele
● 0-9, A-Z, a-z, specialní znaky
● nepoužívat online generátory hesel
● správce hesel
– generování hesla pomocí openssl
$ openssl rand -base64 24
$ openssl rand -base64 37 | cut -c1-37

4. 4
Zabezpečení serveru – hesla (TOP 25 - 2015)
1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. football
8. 1234
9. 1234567
10. baseball
11. welcome
12. 1234567890
13. abc123
14. 111111
15. 1qaz2wsx
16. dragon
17. master
18. monkey
19. letmein
20. login
21. princess
22. qwertyuiop
23. solo
24. passw0rd
25. starwars

5. 5
Zabezpečení serveru – SSH a iptables
● SSH
– změna portu pro SSH (port 22 -> 2222)
– sledování neoprávněných přístupů v logu a odepření přístupu na server
(Fail2Ban)
● nastavení firewallu – iptables
– povolení přístupu pouze z určitých IP (ne vždy vhodné řešení)

6. 6
Zabezpečení serveru – Fail2Ban
● scanuje logy
● hledá neúspěšná přihlášení
● blokuje přístup dle nastavených pravidel
– využívá iptables
● apache, courier, ssh, php, asterisk, ...
● pouze IPv4

7. 7
Zabezpečení serveru – Honeypot
● účelem je přitahovat potenciální útočníky
a zaznamenat jejich činnost
● míra interakce
– nízká míra interakce
● simuluje pouze malou množinu funkcí dané služby
● vhodný především pro detekci známých útoků
– vysoká míra interakce
● simuluje realný systém (službu)
● umožňuje detailně analyzovat útok (i dosud neznámý)
● náchylnější na napadení samotného honeypotu

8. 8
Zabezpečení serveru – Honeypot
● směr interakce
– serverové
● detekce útoků hrubou silou, slovníkové útoky, zneužití služeb,
detekci červů či exploitů
– klientské
● rozpoznávání malware
● simuluje chování uživatele a testuje změnu integrity systému

9. 9
Zabezpečení serveru – Honeypot
● SSH Honeypot
– nízko-interaktivní
● Tinyhoneypot
● Kojoney / Kojoney2 (středně interaktivní)
● sshlowpot
– vysoko-interaktivní
● Kippo
● Cowrie (vychází z projektu Kippo)
● Kippo + Cowrie - https://gitlab.labs.nic.cz/honeynet/kippo

10. 10
Abuse tracker
● www.blocklist.de – Fail2Ban reporting service
– poskytuje seznam IP adres, ze kterých byl veden útok na jejich nebo
partnerský server (48 hodin)
– můžete se stát partnery
– několik typů seznamů
● ssh, mail, apache, imap, ftp, sip, ...

11. 11
Zabezpečení serveru – tipy
● Přesměrování přístupu na ssh z nepovoleného IP rozsahu na honeypot
– -A PREROUTING -p tcp -m tcp --dport 22 -s iprozsah -j ACCEPT
– -A PREROUTING -p tcp -m tcp --dport 22 -j REDIRECT -toports 2222
● Změna portu na kterém naslouchá SSH
– sed -i.bak 's/Port 22/Port 2222/m' /etc/ssh/sshd_config
● Vypnutí přihlášeni přes SSH pomocí hesla
– sed -i.bak 's/PasswordAuthentication yes/PasswordAuthentication
no/m' /etc/ssh/sshd_config

12. 12
Použité zdroje a užitečné odkazy
● https://www.howtoforge.com/tutorial/increase-ipv4-security-with-fail2ba
n-and-tinyhoneypot-on-debian-jessie/
● https://github.com/paralax/awesome-honeypots
● http://www.digitaltrends.com/web/splashdata-worst-passwords/
● https://dip.felk.cvut.cz/browse/pdfcache/heroutom_2013dipl.pdf
● https://gitlab.labs.nic.cz/honeynet/kippo
● http://blog.cyanrd.cz/2015/08/ssh-i-zaklady-prihlasovani.html
● https://help.ubuntu.com/community/SSH/OpenSSH/Configuring
● http://www.tech-recipes.com/rx/1264/generate-passwords-with-openssl/
● http://www.blocklist.de/