Интернет-шлюз, vpn-маршрутизатор на базе Ubuntu. Как не дать себя сломать?

[thunderamur]

Планирую поставить вместо кучи роутеров 1 сервер на базе Ubuntu. Настрою раздачу инета, vpn-server. Но интересен вопрос безопасности. Ведь в случае прямого подключения сервера к провайдерам, без NAT роутера, он будет доступен из мира. Настройки по дефолту достаточно безопасны для этого дела. Я имею в виду в т.ч. ssh, который там установлен. Наверное ему можно указать, слушать только локалку и впн-сеть. Далее по openvpn, повесить на левый порт на всякий, что ещё?

Мб я излишне кипишую, у кого есть опыт эксплуатации подобного сервера в организации поделитесь.
Пользователь решил продолжить мысль 08 Апреля 2013, 10:33:58:закрываем доступ к ssh из Мира:
/etc/ssh/sshd_config

Код: [Выделить]

#ListenAddress 0.0.0.0Раскоммент и вписываем адреса нужных интерфейсов, подозреваю, что просто через запятую.
Пользователь решил продолжить мысль 08 Апреля 2013, 10:36:30:защита от брута ssh

Код: [Выделить]

apt-get install fail2ban

[koshev]

защита от брута ssh

Код: [Выделить]

apt-get install fail2ban

(Нажмите, чтобы показать/скрыть)

iptables

Код: (text) [Выделить]

iptables -N SSH
iptables -A INPUT -d $destination_addr -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
iptables -A SSH -m recent --set --name ssh_brute --rsource
iptables -A SSH -m recent --update --seconds 3600 --hitcount 3 --name ssh_brute --rsource -j LOG --log-prefix "SSH Probe: "
iptables -A SSH -m recent --update --seconds 3600 --hitcount 3 --name ssh_brute --rsource -j REJECT --reject-with icmp-port-unreachable
iptables -A SSH -j ACCEPT/etc/rsyslog.d/iptables.conf

Код: (text) [Выделить]

:msg, contains, "SSH Probe: " -/var/log/iptables.log
& ~

[thunderamur]

KT315,
профит перед fail2ban?

Какие ещё замечания по безопасности? Можно выкидывать в мир в стоке?
Так то я пользую VDS с 12.04 в качестве веб-сервера, ничего не крутил там кроме нужного для реализации нужной задачи. Уже скоро год будет, без проблем.

[koshev]

KT315,
профит перед fail2ban?

Хотя бы по быстродействию, потому что fail2ban работает в userspace. Парсить лог, а затем применять iptables, мне не нравиться - это медленно и не правильно. Логичнее сразу применять iptables, который пишет в лог.

[ArcFi]

У меня примерно так же.
iptables с белым списком по минимуму, всё остальное в REJECT.
ssh открыт наружу, только для пары доверенных хостов со статическим IP, на случай, если ляжет vpn.
fail2ban, само собой.

По поводу укрепления безопасности vpn есть тут:
http://openvpn.net/index.php/open-source/documentation/howto.html#security

[thunderamur]

ArcFi,
Большинство рекомендаций безопасности по openvpn уже применены.

Белый список IPTABLES хорошо, но как же подключения openvpn из дома?

[ArcFi]

⚡ Thunde® ⚡, мне vpn-порт по-любому придётся открытым держать.
Дело даже не в админке из дому, ибо там белый IP, и я мог бы им ограничиться.
Однако, люди с буками от конторы могут мотаться от Мурманска до Москвы, ещё в Финку и хз куда.
Впрочем, аутентификакция по сертификатам, и если чей-то сертификат будет скомпрометирован, то забабахаю его в CRL.

[thunderamur]

ArcFi,
аналогично, есть люди с буками. И да, сертификаты, и да, отзыв сертификаты тоже применяется

[censor]

касаемо ssh достаточно повесить его на нестандартный порт и отвалится 99% ботов.
скоро 2 года как в офисе Ubuntu работает в качестве шлюза, по-началу ссх висел на стандартном порту и попыток логиниться под рутом была туева хуча, после сбора статистики порт было решено изменить.
и еще 1 момент, в конфиг ssh добавь строку
AllowUsers youruser
или группу, например ssh
AllowGroups ssh

[Unreg]

+ port knocking
+ ssh honeypot на tcp/22 повесть можно

[Yuriy_Y]

касаемо ssh достаточно повесить его на нестандартный порт и отвалится 99% ботов.

Возможно так и есть, но это против ботов только.
Достаточно "адной таблэтки":

Код: [Выделить]

nmap -sV ип_адрес -p 1-9999чтобы через минуты две получить

(Нажмите, чтобы показать/скрыть)

Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for ип_адрес
Host is up (0.099s latency).
Not shown: 9994 closed ports
PORT     STATE SERVICE       VERSION
80/tcp   open  http          Apache httpd 2.2.22 ((Ubuntu))
1863/tcp open  tcpwrapped
2233/tcp open  ssh           OpenSSH 5.9p1 Debian 5ubuntu1.1 (protocol 2.0)
4285/tcp open  microsoft-rdp Microsoft Terminal Service
5190/tcp open  tcpwrapped
Service Info: OSs: Linux, Windows

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 122.86 seconds

Из которого видно, что порт ssh всеж определить возможно. В качестве легкого пранка, конечно, можно переобозвать порты в файле /etc/services, но как это отразится на системе, не знаю.

[censor]

сканировать 65535 портов на произвольном количестве компьютеров накладно для атакующего компьютера да и палится это на оборудовании провайдеров, против целенаправленной атаки смена порта естественно что мертвому припарка.

[Yuriy_Y]

Вот и я думаю, имхо, из тех 99% ботов, которые отвалятся, 98.5% запущено "кулхацкерами", которые любят "хацкать", но не знают, где взять ИПшник для хака. А против серьезных людей уже работать сложнее. Но серьезных людей ваш сервер врядли может заинтересовать, поэтому, не стОит превращать свой сервер в фортификационное сооружение, иначе можно запросто стать параноиком. 

[ArcFi]

А мне нравятся фортифицированные сооружения, и считаю, что здоровая паранойя весьма полезна. %)

[deepqeeb]

knockd, honeypot, ips