Acceda con seguridad desde una red externa a la frambuesa

1

Estoy implementando un sistema de alarma para el hogar con frambuesa y necesito acceder a él desde la red externa. La idea inicial era usar VPN en cascada y ssh (en mi universidad para conectarme al clúster, primero tenía que conectarme a la red de la universidad y luego usar ssh). Pero si a través de VPN me conecto a la dirección de frambuesa, no puedo dar comandos a través de ssh porque estoy en 'local', ¿no? ... Así que debería usar ssh más fail2ban o usar VPN. ¿Pero podría estar tranquilo con uno de estos dos métodos? ¿Puedo usar ACL en alguna parte? No estaría bien si alguien pudiera abrir la puerta o acceder a las cámaras ...

    
pregunta dang92 12.09.2018 - 09:42
fuente

1 respuesta

1

Supondré que mencionó que una universidad es un punto del medio ambiente y no está considerando la censura. Pero un servidor OpenSSH funcionará bien aquí. Si bien no es recomendable, asumo que usará el usuario root , asegúrese de que se use una contraseña respetable, esto se aplica a cualquier usuario autorizado para iniciar sesión en SSH. Si le preocupa que la autenticación de contraseña (teclado interactivo) no sea para usted, consulte la autenticación de clave pública, utilizando ED25519 de 521 bits o RSA de 4096 bits.

En cuanto a /etc/ssh/sshd_config endurece lo siguiente:

  Port 30000
  LogLevel VERBOSE
  LoginGraceTime 120 
  PermitRootLogin yes 
  PermitEmptyPasswords no
  # Ideal session timeout
  ClientAliveInterval 600
  ClientAliveCountMax 0
  # Enhanced Authentication
  KexAlgorithms diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp521
  Ciphers aes256-ctr,aes128-ctr
  MACs hmac-sha2-512,hmac-sha2-256
  AllowUsers root

Hago un punto para mencionar, se prefiere CTR sobre CBC para OpenSSH exclusivo, consulte: ' Ataques de recuperación de texto sin formato Contra SSH '. El puerto utilizado para el SSH es su elección si se expone a Internet, use un puerto no estándar, debido a las redes de bots.

Fail2Ban es una opción viable para la protección de la fuerza bruta. Considere la siguiente configuración:

[ssh]
enabled = true
filter = sshd
port    = 3000
bantime = 600
findtime = 120
maxretry = 5
logpath = /var/log/auth.log

Por supuesto, ajuste en función de sus necesidades, ya que los períodos largos pueden ser un problema si se bloquea accidentalmente. Además, recomendaría mantener Fail2Ban habilitado si la autenticación de clave pública está habilitada. Como reducirá el tráfico en el caso de una fuerza bruta de botnets y, por tanto, el consumo de CPU.

Pruebe su configuración con $ hydra -l root -P /root/rockyou.txt 192.168.1.100 -t 4 ssh donde rockyou.txt es una lista de palabras. Esto es para garantizar que la protección contra fuerza bruta funcione correctamente. Puede generar una lista de palabras con john o crunch o descargar una. Además, el uso de nmap garantiza que los únicos puertos abiertos sean aquellos que desea que estén expuestos a su interfaz de red.

Si bien no lo ampliaré, OpenVPN es otra opción viable, pero solo considero esto en lugar de SSH cuando necesito la elusión de la censura.

    
respondido por el safesploit 12.09.2018 - 14:32
fuente

Lea otras preguntas en las etiquetas