Conexões de entrada do endereço IP público para o privado

Navegue suas respostas
1

Hoje eu verifiquei o auth.log do meu framboesa (endereço IP privado na minha rede doméstica atrás de um wrt54gl). Surpreendentemente eu vi um monte de "Falhou senha para raiz de" linhas.

O IP do SRC pode ser encontrado nas listas de invasores de força bruta do SSH.

Quando me conecto ao meu framboesa pela internet, geralmente estabeleço uma conexão ssh com o endereço IP público dos meus roteadores e me conecto ao endereço privado do raspberry.

Então, como alguém pode se conectar diretamente a esse dispositivo que tem apenas um endereço particular? 

eth0      Link encap:Ethernet  Hardware Adresse b8:27:eb:e5:7a:5b
      inet Adresse:192.168.0.5  Bcast:192.168.0.255  Maske:255.255.255.0
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
      RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
      TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl▒nge:1000
      RX bytes:457172801 (435.9 MiB)  TX bytes:875979564 (835.3 MiB)

lo        Link encap:Lokale Schleife
      inet Adresse:127.0.0.1  Maske:255.0.0.0
      UP LOOPBACK RUNNING  MTU:65536  Metrik:1
      RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl▒nge:0
      RX bytes:725188 (708.1 KiB)  TX bytes:725188 (708.1 KiB)


Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31  user=root
    
por user3152810 15.06.2016 / 13:50

1 resposta

2

Da mesma forma que você faz, supondo que você use o encaminhamento de porta. Se você tentar fazer login no seu framboesa a partir do controle remoto, talvez até com uma senha falsa, você verá uma linha muito semelhante no auth.log.

Naturalmente, você se conectará ao seu endereço IP público que é atribuído à interface externa do roteador. Presumo que você tenha estabelecido o encaminhamento de porta no roteador, para que qualquer conexão a uma porta específica em seu endereço IP público seja encaminhada para o framboesa. Neste caso específico, presumo que você tenha encaminhado a porta 22 no roteador para ser encaminhada para a porta 22 do seu framboesa.

A maneira como o cara por trás do outro endereço IP passou é a mesma e provavelmente gosta

  • varrendo a internet para hosts que possuem portas abertas
  • executando uma ferramenta que
    • se conecta a esse host e porta
    • tenta fazer login com listas de senha

Ou talvez ele faça manualmente e ative seu cliente ssh, conecte-se ao seu endereço IP público, porta 22, que será encaminhado para o framboesa e simplesmente tente combinações comuns de nome de usuário / senha (pi / raspberry, root / root , ...).

Para evitar que você possa

  • configure o sshd para usar autenticação de chave privada / pública, não autenticação de senha
  • diga ao seu roteador para encaminhar uma porta diferente (por exemplo, 2222) para a porta 22 da framboesa. Certifique-se de ajustar seu cliente ssh (remoto) para que você ainda possa se conectar.
  • instale knockd e abra a porta antes de usá-la
  • instale fail2ban para bloquear endereços IP não autorizados

(para uma visão geral mais detalhada dos métodos mencionados, por favor veja também aqui .)

    
por 15.06.2016 / 14:10

Tags

Como parar o Office Outlook 2010 de links massivos nos emails que eu envio? OpenWRT dnsmasq: possível reativação de DNS detectada