Expert: aanpassen standaardpoort VNC of SSH slecht idee
Systeembeheerders of gebruikers die de standaardpoort van VNC, SSH of andere protocollen of diensten aanpassen zijn niet verstandig bezig en creëren alleen een vals gevoel van veiligheid. Dat stelt John Matherly, oprichter van de zoekmachine Shodan. Deze zoekmachine is ontwikkeld om allerlei systemen op internet te vinden, zoals routers, modems, webcams, SCADA-installaties en andere apparatuur.
Ook allerlei diensten zijn via Shodan te vinden. Matherly besloot te onderzoeken hoeveel mensen Virtual Network Computing (VNC) zonder authenticatie gebruiken. Via VNC is het mogelijk om op afstand een systeem te bedienen. In het geval er geen authenticatie is ingesteld hoeft een aanvaller alleen het IP-adres van het systeem te weten om hiermee verbinding te maken en toegang te krijgen. Matherly ontdekte zo'n 8.000 VNC-installaties waar zonder wachtwoord op kon worden ingelogd. Wat opviel was dat ongeveer bij de helft van deze installaties de standaardpoort was gewijzigd.
Standaard draait VNC op poort 5900, maar op bijna 4.000 systeem was het poortnummer in 5901 veranderd. "Ik denk dat veel mensen de standaardpoort wijzigen met het idee dat zo hun service wordt verborgen", merkt Matherly op. Dit gedrag speelt echter niet alleen bij VNC-installaties. Ook bij SSH, een protocol om op afstand computers te bedienen, gebeurt dit vaak. Hier kiezen mensen vaak iets meer verschillende nummers, maar volgens Matherly zijn mensen niet echt goed in het verzinnen van willekeurige getallen.
In de industriële sector komt het aanpassen van poortnummers ook voor. Zo gebruiken veel fabrieken en productieomgevingen het Modbus industriële controlesysteem. Standaard draait Modbus op poort 502, maar er zijn ook honderden installaties op internet te vinden die op poort 503 luisteren. Er zijn echter allerlei tools en scanners te vinden waarmee deze aangepaste poortnummers toch kunnen worden gevonden. Volgens Matherly is het wijzigen van het poortnummer dan ook niets meer dan een lapmiddel en geeft het alleen een vals gevoel van veiligheid.
Reacties (29)
06-09-2015, 12:20 door
beamer
Het aanpassen van standaard poortnummers als enige manier van beveiliging voegt niet zoveel toe, maar om nu te stellen dat het een slecht idee is is nogal kort door de bocht.
Goede security is gelaagde security (multi-layer of defense in depth) en het aanpassen van de standaard poortnummers kan een van die maatregelen zijn. Zelfs als je het poortnummer maar met eentje verhoogd kan dit slim zijn, als je bv. fail2ban op het standaard poortnummer draait. Een scannende host komt vrijwel altijd eerst op de standaard poortnummers uit, wordt door fail2ban tijdelijke geblokkeerd en ziet nooit meer iets anders.
Maar als je het toch veranderd kan je het net zo goed veel hoger in de poort-ranges zetten waar de meeste scanners nooit komen.
Uiteraard is het zaak om (met name) alles wat luistert op een netwerk poort goed bijgewerkt te houden en de configuratie gehardened in te richten.
Goede security is gelaagde security (multi-layer of defense in depth) en het aanpassen van de standaard poortnummers kan een van die maatregelen zijn. Zelfs als je het poortnummer maar met eentje verhoogd kan dit slim zijn, als je bv. fail2ban op het standaard poortnummer draait. Een scannende host komt vrijwel altijd eerst op de standaard poortnummers uit, wordt door fail2ban tijdelijke geblokkeerd en ziet nooit meer iets anders.
Maar als je het toch veranderd kan je het net zo goed veel hoger in de poort-ranges zetten waar de meeste scanners nooit komen.
Uiteraard is het zaak om (met name) alles wat luistert op een netwerk poort goed bijgewerkt te houden en de configuratie gehardened in te richten.
Wat een domme gast is dat... natuurlijk helpt het wel. Aalleen je moet niet denken dat je dan niet meer hoeft te beveiligen maar dat wil niet zeggen dat het een slecht idee is om een andere poort te kiezen, alle beetjes helpen.
Ik zet SSH altijd op een andere poort simpel omdat de meeste bots alleen op port 22 scannen. Dat scheelt een enorme berg met meldingen in de firewall. Dus ja hoeveel bewijs wil je hebben dat het wel degelijk een positieve invloed heeft.
Ik zet SSH altijd op een andere poort simpel omdat de meeste bots alleen op port 22 scannen. Dat scheelt een enorme berg met meldingen in de firewall. Dus ja hoeveel bewijs wil je hebben dat het wel degelijk een positieve invloed heeft.
Systeembeheerders of gebruikers die de standaardpoort van VNC, SSH of andere protocollen of diensten aanpassen zijn niet verstandig bezig en creëren alleen een vals gevoel van veiligheid. Dat stelt John Matherly, oprichter van de zoekmachine Shodan.
Incorrect, zolang je het gebruikt als aanvulling op, en niet als vervanging van, andere beveiligingsmaatregelen.
Er zijn echter allerlei tools en scanners te vinden waarmee deze aangepaste poortnummers toch kunnen worden gevonden.
Sure, maar lang niet iedere hacker gebruikt die tools. En als een hacker een willekeurig doelwit zoekt, dan zal deze snel scans op default ports uitvoeren.
Naast hackers zijn er echter ook nog oneindig veel malware samples, die het halve internet afscannen op default ports, om de service die daarop draait vervolgens te bestoken met brute force aanvallen. Zo'n sample zal je service nimmer detecteren op een afwijkende port. Denk daarbij bijvoorbeeld aan de Win32/Morto worm, die RDP brute force aanvallen uitvoert.
Natuurlijk biedt het wijzigen van de default port geen ultieme veiligheid - maar het verlaagt wel het risico op aanvallen. Het bestaan van Shodan en andere tools doet daar weinig aan af.
Inderdaad een verschrikkelijk domme en ook nog eens irritante gast die Matherly, en zijn "zoekmachine shodan"
erbij. Bah. Dat soort idioten kunnen we goed missen op internet!
Het is ook nog eens een aperte leugenaar. Hij beweert dat je subnetten kunt laten excluden uit zijn spider en als
je daar om vraagt dan doet ie alsof hij ze exclude, maar een week later staan ze er gewoon weer in. Klojo.
erbij. Bah. Dat soort idioten kunnen we goed missen op internet!
Het is ook nog eens een aperte leugenaar. Hij beweert dat je subnetten kunt laten excluden uit zijn spider en als
je daar om vraagt dan doet ie alsof hij ze exclude, maar een week later staan ze er gewoon weer in. Klojo.
Dat het veranderen van een poort geen sterke beveiligingsmaatregel is dat klopt. De omdraaiing dat het schadelijk is omdat het een vals gevoel van veiligheid kan geven deugt niet. Dat er systemen beheerd worden door mensen die niet overzien wat ze doen is geen gevolg van aangepaste poorten, het is de oorzaak van het ontbreken van betere beveiligingsmaatregelen. Als die wél zijn genomen doet dat aangepaste poortnummer echt geen kwaad.
Nou lijkt Matherly zich in zijn blog-posts te richten op mensen die nog een hoop basale dingen te leren hebben, maar als je aanneemt dat die het onderscheid tussen "doet geen goed" en "doet kwaad" al niet weten vol te houden door dat valse gevoel van veiligheid te ontwikkelen dan vrees ik dat ze er met de beste adviezen van de wereld ook niet uit gaan komen.
Ik weet niet op welke poorten Shodan allemaal scant (volgens hun FAQ minder dan nodig is om de resultaten uit de blogs op te kunnen leveren). Als ze niet op alle mogelijke 64k poorten scannen dan zit het er dik in dat ze voorspelbare poorten hebben aangetroffen omdat ze voorspelbare poorten hebben gescand. En dan zit het er ook dik in dat ze machines waar obscurity als extra maatregel wordt genomen door beheerders die wat beter weten wat ze doen helemaal niet hebben gevonden. Als dat zo is dan werkt obscurity als aanvullende maatregel wél.
Nou lijkt Matherly zich in zijn blog-posts te richten op mensen die nog een hoop basale dingen te leren hebben, maar als je aanneemt dat die het onderscheid tussen "doet geen goed" en "doet kwaad" al niet weten vol te houden door dat valse gevoel van veiligheid te ontwikkelen dan vrees ik dat ze er met de beste adviezen van de wereld ook niet uit gaan komen.
Ik weet niet op welke poorten Shodan allemaal scant (volgens hun FAQ minder dan nodig is om de resultaten uit de blogs op te kunnen leveren). Als ze niet op alle mogelijke 64k poorten scannen dan zit het er dik in dat ze voorspelbare poorten hebben aangetroffen omdat ze voorspelbare poorten hebben gescand. En dan zit het er ook dik in dat ze machines waar obscurity als extra maatregel wordt genomen door beheerders die wat beter weten wat ze doen helemaal niet hebben gevonden. Als dat zo is dan werkt obscurity als aanvullende maatregel wél.
John Matherly heeft geen flauw benul waarom de poortnummers worden gewijzigd maar gaat wel met een vingertje staan zwaaien dat het om veiligheidsredenen wordt gedaan. Dat is aandacht zoeken om de aandacht. Natuurlijk, het kan een middel zijn als onderdeel van je beveiliging. De gemakzuchtige crimineel hou je tegen. Maar security by obscurity is al decennia geen volwaardige beveiliging.
ik zie hier vooral scans op poort 22 en 22222 binnenkomen,
die laatste is wss een veelgebruikt alternatief?
op een andere poort is dus wel veiliger..
Het is niet de enige maatregel die je moet nemen om je servers te beveiligen, maar een belangrijke is het zeker wel.
die laatste is wss een veelgebruikt alternatief?
op een andere poort is dus wel veiliger..
Het is niet de enige maatregel die je moet nemen om je servers te beveiligen, maar een belangrijke is het zeker wel.
06-09-2015, 19:12 door
mcb
Matherly ontdekte zo'n 8.000 VNC-installaties waar zonder wachtwoord op kon worden ingelogd. Wat opviel was dat ongeveer bij de helft van deze installaties de standaardpoort was gewijzigd.
Huh???User zijn wel slim genoeg om een poortnr te kunnen wijzigen maar denken niet over iets simpels als een pw?
Op een andere poort luisteren is vrijwel altijd een goed idee. Daardoor worden geautomatiseerde pogingen al bij voorbaat onsuccesvol. Dat is van belang omdat er altijd een kans is op menselijk falen (te makkelijk wachtwoord, verliezen wachtwoord, lek in SSH, etc.)
Andere voordelen zijn dat false positives in een IDS sterk worden beperkt. Feitelijk is een poging om in te loggen via een niet-standaard poort vanaf een onbekend IP een aanval die als moet worden behandeld als ernstig. Het gaat dan immers om een doelgerichte aanval.
@mcb
VNC wordt al vanaf het begin gebruikt bij aanvallen door malware als tool om de machine te kunnen besturen. Wachtwoord niet nodig dus. De aanname dat gebruikers zelf VNC zo installeren mist onderbouwing.
Andere voordelen zijn dat false positives in een IDS sterk worden beperkt. Feitelijk is een poging om in te loggen via een niet-standaard poort vanaf een onbekend IP een aanval die als moet worden behandeld als ernstig. Het gaat dan immers om een doelgerichte aanval.
@mcb
VNC wordt al vanaf het begin gebruikt bij aanvallen door malware als tool om de machine te kunnen besturen. Wachtwoord niet nodig dus. De aanname dat gebruikers zelf VNC zo installeren mist onderbouwing.
Door mcb:
User zijn wel slim genoeg om een poortnr te kunnen wijzigen maar denken niet over iets simpels als een pw?
Matherly ontdekte zo'n 8.000 VNC-installaties waar zonder wachtwoord op kon worden ingelogd. Wat opviel was dat ongeveer bij de helft van deze installaties de standaardpoort was gewijzigd.
Huh???User zijn wel slim genoeg om een poortnr te kunnen wijzigen maar denken niet over iets simpels als een pw?
Ze denken natuurlijk dat als je een andere poort neemt dat je dan veilig bent (omdat immers niemand weet welke poort je hebt genomen). Een geldige redenatie - als je niet bekend bent met poortscanners - die een onterecht gevoel van veiligheid geeft.
Door Anoniem: Wat een domme gast is dat... natuurlijk helpt het wel. Aalleen je moet niet denken dat je dan niet meer hoeft te beveiligen maar dat wil niet zeggen dat het een slecht idee is om een andere poort te kiezen, alle beetjes helpen.
Ik zet SSH altijd op een andere poort simpel omdat de meeste bots alleen op port 22 scannen. Dat scheelt een enorme berg met meldingen in de firewall. Dus ja hoeveel bewijs wil je hebben dat het wel degelijk een positieve invloed heeft.
Helemaal correct, hier dezelfde ervaring, poort 22 open en je krijgt de ene brute force na de andere, zet het op een andere poort en de aantallen nemen enorm af.Ik zet SSH altijd op een andere poort simpel omdat de meeste bots alleen op port 22 scannen. Dat scheelt een enorme berg met meldingen in de firewall. Dus ja hoeveel bewijs wil je hebben dat het wel degelijk een positieve invloed heeft.
Daarnaast beveilig ik met een firewall, alleen vanaf goedgekeurde adressen is de poort snel te zien (natuurlijk niet de ilusie hebben dat je echt veilig bent).
Ik draai al jaren zowel beroepsmatig als privé ssh-servers en mijn ervaringen wijken nogal af van wat hierboven in de reacties verkondigd wordt. Ik heb jaren sshd op non-standaard poorten gedraaid maar ben er sinds er sinds een jaar of drie van overtuigd geraakt dat dit eigenlijk een nutteloos ritueel geworden is en ik doe het dus alleen als de baas er expliciet om vraagt.
Er zijn een paar grote netwerken/botnets actief die volledig geautomatiseerd en gedistribueerd met honderden bots pakketje voor pakketje het hele internet scannen. Als je een voor de onderwereld interessante service op een vers uit de duim gezogen non-standaard poort draait dan zie je in je logs dat je binnen een week of 3 gescand bent en dat er plots ongewenst verkeer op die poort begint binnen te komen. Die botnets zijn je primaire bedreiging en als je die wilt tegenhouden met non-standaard poorten dan moet je dus om de 2 weken de poortnummers van al je services veranderen. Daarbij is de kans dat je zwaar gehardende, certificate only ssh-server door een scriptkiddie gehackt wordt omdat hij op poort 22 draait, verwaarloosbaar.
Er zijn een paar grote netwerken/botnets actief die volledig geautomatiseerd en gedistribueerd met honderden bots pakketje voor pakketje het hele internet scannen. Als je een voor de onderwereld interessante service op een vers uit de duim gezogen non-standaard poort draait dan zie je in je logs dat je binnen een week of 3 gescand bent en dat er plots ongewenst verkeer op die poort begint binnen te komen. Die botnets zijn je primaire bedreiging en als je die wilt tegenhouden met non-standaard poorten dan moet je dus om de 2 weken de poortnummers van al je services veranderen. Daarbij is de kans dat je zwaar gehardende, certificate only ssh-server door een scriptkiddie gehackt wordt omdat hij op poort 22 draait, verwaarloosbaar.
Voor mij is ook het grote voordeel dat de logging en IDS lekker rustig blijven. Als er iets wordt gerapporteert, dan kan het een gerichte aanval zijn. Je kunt dus makkelijker het kaf van het koren scheiden. Ik zet daarom altijd m'n ssh op een vage poort.
07-09-2015, 08:13 door
linuxpro
Het is inderdaad een vorm van schijnveiligheid en daarnaast kan daardoor andere diensten die wel hun 'normale' poortnummer gebruiken in de knel komen. Kortom, regel je veiligheid op een hoger nivo i.p.v. poortnummers te veranderen.
VNC usermode = 5900
VNC virtualmode = 5901
Hij heeft geen benul waar hij over praat.
NEXT
VNC virtualmode = 5901
Hij heeft geen benul waar hij over praat.
NEXT
07-09-2015, 09:22 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Ik heb jaren sshd op non-standaard poorten gedraaid maar ben er sinds er sinds een jaar of drie van overtuigd geraakt dat dit eigenlijk een nutteloos ritueel geworden is en ik doe het dus alleen als de baas er expliciet om vraagt.
Grappig, in mijn herinnering is het nog maar een paar maanden geleden dat ik het onderwerp op een forum (ik weet niet meer welk) besproken werd en diverse mensen in de onvermijdelijke 'dit is security by obscurity'-discussie meldden dat het bij hun wel degelijk heel effectief de scriptkiddies buiten de deur hield.Zelf ben ik (privé) uit ergernis over de enorme hoeveelheid spam die de scans in logfiles opleveren ooit fail2ban gaan gebruiken. Daar ben ik mee gestopt toen botnets zo groot waren geworden dat elke poging om aan te loggen van een ander IP-adres kwam, zodat fail2ban geen effect meer had. Toen heb ik in plaats daarvan via een paar iptables-rules geregeld dat het opvragen van een specifieke (niet bestaande) pagina op een webserver de SSH-poort kort openzette voor nieuwe verbindingen. Zéér effectief om dat soort scans uit je logfiles te houden. Ik ben recent op fwknop overgestapt, een vorm van port knocking met gedeelde sleutels (single packet authorization). In beide opzetten is de combinatie van commando's die nodig is om een SSH-verbinding op te zetten in een eenvoudig scriptje in te pakken, qua gebruik is het niet moeilijker dan kaal SSH daardoor.
07-09-2015, 09:34 door
[Account Verwijderd]
[Verwijderd]
Tja, zijn zoekmachine gaat niet meer werken als iedereen andere poorten gaat gebruiken..
Ik snap dat wel... eet zijn verdienmodel op als we allemaal poorten gaat randomizen.
VNC op 22, RDP op 5800, SSH op 3389.
Ik snap dat wel... eet zijn verdienmodel op als we allemaal poorten gaat randomizen.
VNC op 22, RDP op 5800, SSH op 3389.
Door linuxpro: Het is inderdaad een vorm van schijnveiligheid en daarnaast kan daardoor andere diensten die wel hun 'normale' poortnummer gebruiken in de knel komen. Kortom, regel je veiligheid op een hoger nivo i.p.v. poortnummers te veranderen.
De aanname dat het andere beveiligingsmaatregelen kan vervangen levert schijnveiligheid op, niet het veranderen van de poort zelf.Die aanname wordt door een mens gedaan. Het veiligheidsprobleem zit in de mens, niet in de poort, en het zit er dik in dat het mensen betreft die onvoldoende snappen waar ze mee bezig zijn. Dat kennisgebrek los je niet op door ze op het verkeerde been te zetten met het beeld dat de poortkeuze zelf de veiligheid negatief zou beïnvloeden. En dat beeld schep je met "i.p.v.".
Het poortnummer is op applicatieniveau niet meer dan een simpel geïsoleerd getalletje dat de software aan de een of andere API-call doorgeeft. Als dat invloed heeft op hoe bijvoorbeeld authenticatie en encryptie werken is er iets ernstig mis met die software. Op *nix is het wel zo dat de eerste 1024 poorten alleen gealloceerd mogen worden door applicaties met speciale rechten, en die moeten maatregelen nemen om hun rechten zo snel mogelijk te reduceren. Een applicatie als sshd die daar al rekening mee houdt wordt niet onveilig door een ander poortnummer te kiezen. Voor het overige hoort het poortnummer geen invloed op de werking en veiligheid van een applicatie te hebben.
Je kan mensen met onvoldoende kennis beter aan hun verstand brengen dat de toegevoegde waarde van een veranderde poort heel beperkt is en dat ze absoluut niet moeten denken dat andere maatregelen overbodig zijn. De boodschap moet niet zijn dat het veranderen van de poort zelf kwaad kan qua beveiliging, omdat dat simpelweg niet waar is. Je suggereert daarmee allerlei onlogische verbanden in de werking van software die er als het goed is helemaal niet zijn. Daarmee kan je mensen behoorlijk op het verkeerde been zetten en je saboteert hun begrip van hoe het werkt eerder dan dat je het bevordert.
Door Anoniem:
Zelf ben ik (privé) uit ergernis over de enorme hoeveelheid spam die de scans in logfiles opleveren ooit fail2ban gaan gebruiken. Daar ben ik mee gestopt toen botnets zo groot waren geworden dat elke poging om aan te loggen van een ander IP-adres kwam, zodat fail2ban geen effect meer had.
Door Anoniem: Ik heb jaren sshd op non-standaard poorten gedraaid maar ben er sinds er sinds een jaar of drie van overtuigd geraakt dat dit eigenlijk een nutteloos ritueel geworden is en ik doe het dus alleen als de baas er expliciet om vraagt.
Grappig, in mijn herinnering is het nog maar een paar maanden geleden dat ik het onderwerp op een forum (ik weet niet meer welk) besproken werd en diverse mensen in de onvermijdelijke 'dit is security by obscurity'-discussie meldden dat het bij hun wel degelijk heel effectief de scriptkiddies buiten de deur hield.Zelf ben ik (privé) uit ergernis over de enorme hoeveelheid spam die de scans in logfiles opleveren ooit fail2ban gaan gebruiken. Daar ben ik mee gestopt toen botnets zo groot waren geworden dat elke poging om aan te loggen van een ander IP-adres kwam, zodat fail2ban geen effect meer had.
Ik ben daarom een eigen oplossing gaan gebruiken die de grootte van de botnets wel aankan. (Ik heb die enige weken geleden hier gepost). Ook bij grote botnets komen dezelfde bots vaker voor in de scan, de tijdspanne is alleen veel langer geworden (van minuten naar dagen).
In beide opzetten is de combinatie van commando's die nodig is om een SSH-verbinding op te zetten in een eenvoudig scriptje in te pakken, qua gebruik is het niet moeilijker dan kaal SSH daardoor.
Mja, maar dat maakt het wel erg lastig om ssh aan je klanten aan te bieden.
Door Anoniem:
Door linuxpro: Het is inderdaad een vorm van schijnveiligheid en daarnaast kan daardoor andere diensten die wel hun 'normale' poortnummer gebruiken in de knel komen. Kortom, regel je veiligheid op een hoger nivo i.p.v. poortnummers te veranderen.
De aanname dat het andere beveiligingsmaatregelen kan vervangen levert schijnveiligheid op, niet het veranderen van de poort zelf.Dat is maar de helft van het probleem. De andere helft is: als het veranderen van de poortnummers inderdaad extra veiligheid oplevert en er tevens op grote schaal portscans plaatsvinden, dan betekent dit dat je met het eenmalige veranderen van de poortnummers niet klaar bent omdat de extra veiligheid die dit oplevert, binnen enkele weken "weggescand" is door botnets.
Als je voor dit soort extra veiligheid gaat dan moet je dus iedere paar weken je poortnummers wijzigen, anders is er van de extra veiligheid weinig over.
07-09-2015, 11:20 door
superglitched
Zo kun je net zo goed bijna alle security maatregelen wel een 'false sense of security' noemen. Net zoals root inlog niet toestaan, sterk wachtwoord gebruiken, firewall, enz.
Veel mensen passen namelijk hun poort aan omdat ze anders elke dag aardig wat dataverkeer erbij krijgen, en de bots zich vaak beperken tot een vaste poort en niet een complete portscan uitvoeren.
Veel mensen passen namelijk hun poort aan omdat ze anders elke dag aardig wat dataverkeer erbij krijgen, en de bots zich vaak beperken tot een vaste poort en niet een complete portscan uitvoeren.
Door Anoniem: Tja, zijn zoekmachine gaat niet meer werken als iedereen andere poorten gaat gebruiken..
Ik snap dat wel... eet zijn verdienmodel op als we allemaal poorten gaat randomizen.
VNC op 22, RDP op 5800, SSH op 3389.
Goed gevonden!Ik snap dat wel... eet zijn verdienmodel op als we allemaal poorten gaat randomizen.
VNC op 22, RDP op 5800, SSH op 3389.
Verder zorg ik voor een IDS/Honeypot. Iemand die op niet gebruikte poorten uitkomt heeft bij mij per definitie niets te zoeken. Direct voor goed het hele adres blokkeren..
Door Anoniem:
Verder zorg ik voor een IDS/Honeypot. Iemand die op niet gebruikte poorten uitkomt heeft bij mij per definitie niets te zoeken. Direct voor goed het hele adres blokkeren..
Door Anoniem: Tja, zijn zoekmachine gaat niet meer werken als iedereen andere poorten gaat gebruiken..
Ik snap dat wel... eet zijn verdienmodel op als we allemaal poorten gaat randomizen.
VNC op 22, RDP op 5800, SSH op 3389.
Goed gevonden!Ik snap dat wel... eet zijn verdienmodel op als we allemaal poorten gaat randomizen.
VNC op 22, RDP op 5800, SSH op 3389.
Verder zorg ik voor een IDS/Honeypot. Iemand die op niet gebruikte poorten uitkomt heeft bij mij per definitie niets te zoeken. Direct voor goed het hele adres blokkeren..
Nee, slecht gevonden en blijkbaar nooit met Shodan (of een geavanceerde portscanner) gewerkt. Dit soort scanners test niet of een poort openstaat en neemt dan klakkeloos aan dat de standaardservice voor die poort erachter zit, maar kijkt aan de hand van de respons van de gescande host welke service er daadwerkelijk achter een open poort zit. Als je met een dergelijke scanner een host volledig scant dan worden services als ssh en rdp gevonden ongeacht op welke poort ze draaien. Je kunt dat tegengaan met technieken als port knocking of door de toegang tot de service op ip-basis te beperken.
Door Anoniem: Dat is maar de helft van het probleem. De andere helft is: als het veranderen van de poortnummers inderdaad extra veiligheid oplevert...
Ik schreef niet dat het veranderen van poortnummers extra veiligheid oplevert, ik schreef dat de schijnveiligheid aan iets anders toegeschreven moet worden dan aan het poortnummer....en er tevens op grote schaal portscans plaatsvinden, dan betekent dit dat je met het eenmalige veranderen van de poortnummers niet klaar bent omdat de extra veiligheid die dit oplevert, binnen enkele weken "weggescand" is door botnets.
Inderdaad. Maar dan nog is het geen verslechtering van de veiligheid ten opzichte van een SSH-server op poort 22 die voor het hele internet zichtbaar is, het veranderen van de poort is dan neutraal, het levert geen beveiligingsvoordeel (meer) op maar het levert ook geen beveiligingsnadeel op. Je hoeft met andere woorden niet angstvallig die poort terug te zetten naar de default in de veronderstelling dat dát veiliger is, het maakt gewoon niet uit.Door Anoniem:
Zelf ben ik (privé) uit ergernis over de enorme hoeveelheid spam die de scans in logfiles opleveren ooit fail2ban gaan gebruiken. Daar ben ik mee gestopt toen botnets zo groot waren geworden dat elke poging om aan te loggen van een ander IP-adres kwam, zodat fail2ban geen effect meer had. Toen heb ik in plaats daarvan via een paar iptables-rules geregeld dat het opvragen van een specifieke (niet bestaande) pagina op een webserver de SSH-poort kort openzette voor nieuwe verbindingen. Zéér effectief om dat soort scans uit je logfiles te houden. Ik ben recent op fwknop overgestapt, een vorm van port knocking met gedeelde sleutels (single packet authorization). In beide opzetten is de combinatie van commando's die nodig is om een SSH-verbinding op te zetten in een eenvoudig scriptje in te pakken, qua gebruik is het niet moeilijker dan kaal SSH daardoor.
Door Anoniem: Ik heb jaren sshd op non-standaard poorten gedraaid maar ben er sinds er sinds een jaar of drie van overtuigd geraakt dat dit eigenlijk een nutteloos ritueel geworden is en ik doe het dus alleen als de baas er expliciet om vraagt.
Grappig, in mijn herinnering is het nog maar een paar maanden geleden dat ik het onderwerp op een forum (ik weet niet meer welk) besproken werd en diverse mensen in de onvermijdelijke 'dit is security by obscurity'-discussie meldden dat het bij hun wel degelijk heel effectief de scriptkiddies buiten de deur hield.Zelf ben ik (privé) uit ergernis over de enorme hoeveelheid spam die de scans in logfiles opleveren ooit fail2ban gaan gebruiken. Daar ben ik mee gestopt toen botnets zo groot waren geworden dat elke poging om aan te loggen van een ander IP-adres kwam, zodat fail2ban geen effect meer had. Toen heb ik in plaats daarvan via een paar iptables-rules geregeld dat het opvragen van een specifieke (niet bestaande) pagina op een webserver de SSH-poort kort openzette voor nieuwe verbindingen. Zéér effectief om dat soort scans uit je logfiles te houden. Ik ben recent op fwknop overgestapt, een vorm van port knocking met gedeelde sleutels (single packet authorization). In beide opzetten is de combinatie van commando's die nodig is om een SSH-verbinding op te zetten in een eenvoudig scriptje in te pakken, qua gebruik is het niet moeilijker dan kaal SSH daardoor.
Bedankt voor deze tip!
07-09-2015, 14:04 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Ik draai al jaren zowel beroepsmatig als privé ssh-servers en mijn ervaringen wijken nogal af van wat hierboven in de reacties verkondigd wordt. Ik heb jaren sshd op non-standaard poorten gedraaid maar ben er sinds er sinds een jaar of drie van overtuigd geraakt dat dit eigenlijk een nutteloos ritueel geworden is en ik doe het dus alleen als de baas er expliciet om vraagt.
Er zijn een paar grote netwerken/botnets actief die volledig geautomatiseerd en gedistribueerd met honderden bots pakketje voor pakketje het hele internet scannen. Als je een voor de onderwereld interessante service op een vers uit de duim gezogen non-standaard poort draait dan zie je in je logs dat je binnen een week of 3 gescand bent en dat er plots ongewenst verkeer op die poort begint binnen te komen. Die botnets zijn je primaire bedreiging en als je die wilt tegenhouden met non-standaard poorten dan moet je dus om de 2 weken de poortnummers van al je services veranderen. Daarbij is de kans dat je zwaar gehardende, certificate only ssh-server door een scriptkiddie gehackt wordt omdat hij op poort 22 draait, verwaarloosbaar.
Er zijn een paar grote netwerken/botnets actief die volledig geautomatiseerd en gedistribueerd met honderden bots pakketje voor pakketje het hele internet scannen. Als je een voor de onderwereld interessante service op een vers uit de duim gezogen non-standaard poort draait dan zie je in je logs dat je binnen een week of 3 gescand bent en dat er plots ongewenst verkeer op die poort begint binnen te komen. Die botnets zijn je primaire bedreiging en als je die wilt tegenhouden met non-standaard poorten dan moet je dus om de 2 weken de poortnummers van al je services veranderen. Daarbij is de kans dat je zwaar gehardende, certificate only ssh-server door een scriptkiddie gehackt wordt omdat hij op poort 22 draait, verwaarloosbaar.
Als jij 100 scans per dag op poort 22 krijgt en verplaatst de boel naar een andere poort en je krijgt daar niet of nauwelijks scans dan zie ik een voordeel en ik denk iedereen met mij. Hoe je de SSH server verder beveiligd is uiteraard belangrijk maar dat ontkent niemand maar is niet relevant voor dit verhaal. En waarom zou je om de 2 weken het port nummer veranderen? Al zou je 1x gescand worden dan betekend nog niet dat je ineens weer 100 meldingen per dag mag verwachten en als je die wel hebt.. dan denk ik dat je er vanuit mag gaan dat het een gerichte aanval betreft.
Door Anoniem:
Als jij 100 scans per dag op poort 22 krijgt en verplaatst de boel naar een andere poort en je krijgt daar niet of nauwelijks scans dan zie ik een voordeel en ik denk iedereen met mij. Hoe je de SSH server verder beveiligd is uiteraard belangrijk maar dat ontkent niemand maar is niet relevant voor dit verhaal. En waarom zou je om de 2 weken het port nummer veranderen? Al zou je 1x gescand worden dan betekend nog niet dat je ineens weer 100 meldingen per dag mag verwachten en als je die wel hebt.. dan denk ik dat je er vanuit mag gaan dat het een gerichte aanval betreft.
Door Anoniem: Ik draai al jaren zowel beroepsmatig als privé ssh-servers en mijn ervaringen wijken nogal af van wat hierboven in de reacties verkondigd wordt. Ik heb jaren sshd op non-standaard poorten gedraaid maar ben er sinds er sinds een jaar of drie van overtuigd geraakt dat dit eigenlijk een nutteloos ritueel geworden is en ik doe het dus alleen als de baas er expliciet om vraagt.
Er zijn een paar grote netwerken/botnets actief die volledig geautomatiseerd en gedistribueerd met honderden bots pakketje voor pakketje het hele internet scannen. Als je een voor de onderwereld interessante service op een vers uit de duim gezogen non-standaard poort draait dan zie je in je logs dat je binnen een week of 3 gescand bent en dat er plots ongewenst verkeer op die poort begint binnen te komen. Die botnets zijn je primaire bedreiging en als je die wilt tegenhouden met non-standaard poorten dan moet je dus om de 2 weken de poortnummers van al je services veranderen. Daarbij is de kans dat je zwaar gehardende, certificate only ssh-server door een scriptkiddie gehackt wordt omdat hij op poort 22 draait, verwaarloosbaar.
Er zijn een paar grote netwerken/botnets actief die volledig geautomatiseerd en gedistribueerd met honderden bots pakketje voor pakketje het hele internet scannen. Als je een voor de onderwereld interessante service op een vers uit de duim gezogen non-standaard poort draait dan zie je in je logs dat je binnen een week of 3 gescand bent en dat er plots ongewenst verkeer op die poort begint binnen te komen. Die botnets zijn je primaire bedreiging en als je die wilt tegenhouden met non-standaard poorten dan moet je dus om de 2 weken de poortnummers van al je services veranderen. Daarbij is de kans dat je zwaar gehardende, certificate only ssh-server door een scriptkiddie gehackt wordt omdat hij op poort 22 draait, verwaarloosbaar.
Als jij 100 scans per dag op poort 22 krijgt en verplaatst de boel naar een andere poort en je krijgt daar niet of nauwelijks scans dan zie ik een voordeel en ik denk iedereen met mij. Hoe je de SSH server verder beveiligd is uiteraard belangrijk maar dat ontkent niemand maar is niet relevant voor dit verhaal. En waarom zou je om de 2 weken het port nummer veranderen? Al zou je 1x gescand worden dan betekend nog niet dat je ineens weer 100 meldingen per dag mag verwachten en als je die wel hebt.. dan denk ik dat je er vanuit mag gaan dat het een gerichte aanval betreft.
Ik krijg zo'n 5 scans per dag op poort 22. Dat komt omdat ik niet aan schijnveiligheid doe maar uitgebreide banlists bijhoudt waar niet alleen hosts de me al eens gescand hebben in staan, maar ook diverse banlists met kwaadaardige hosts die op het internet te verkrijgen zijn en daarnaast ban ik alle netblocks die aan bepaalde landen toegewezen zijn (ban Rusland en China en je reduceert het aantal scans al met de helft). Rigoureus bannen op IP is veiligheid die werkt onafhankelijk van de poort waarop je je ssh draait, ne het gaat nog volledig geautomatiseerd ook...
De primaire bedreiging voor je ssh-server zijn geen scriptkiddies die standaard-installaties op poort 22 zoeken maar grote botnets die je machine/ip scannen en op die manier te weten komen op welke poort je ssh-server draait, en die vervolgens gedistribueerd over het botnet beginnen te brute forcen en/of er exploits op los te laten.
Omdat die botnets continue het hele internet afscannen op potentieel kwetsbare services en omdat juist die botnets de grootste bedreiging vormen, moet je dus je poortnummers ook continue blijven wijzigen als je van de "wack-a-mole veiligheid" die dat biedt gebruik maken wilt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
