Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Onbekende inkomende SSH connecties

Pagina: 1
Acties:

dinsdag 1 juli 2014 14:25

Acties:
  • Coffee
  • Registratie: Oktober 2012
  • Laatst online: 14:48

Coffee

Coffee

Topicstarter
Beste Allen,

Sinds jaar en dag houdt little snitch (zoek maar op) binnenkomende en uitgaande connecties tegen tot ik ze accepteer. Eigenlijk heb ik dit programma voor exact de reden geinstalleerd als het probleem dat ik nu heb.

Sinds gister ochtend krijg ik ongeveer eenmaal per uur een melding dat sshd een inkomende verbinding wil accepteren (zie afb)

Afbeeldingslocatie: http://i58.tinypic.com/2mrtx94.png

Tot nu toe blokkeer ik elke keer het ip-adres. Helaas kwam ik er al snel achter dat het ip adres bij elk verzoek veranderd en uit een ander land komt (eerst india, toen china, etc).

Valt er hier iets tegen te doen? Little Snitch valt ook in te stellen door het white listen van een ip, ipv het black listen van een ip. Alleen wil ik dit eigenlijk niet doen omdat ik commands geprogrameerd heb die mij helpen in het geval deze laptop (Macbook Pro 2012) gestolen wordt en/of verlies.

Alvast bedankt!

Coffee

EV3 +A LR, HA Yellow, Prusa Mini+, ERGA08EAV3H7 & EHBH08EF6V

dinsdag 1 juli 2014 15:31

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 08:47

plizz

Kan je router of firewall inkomende SSH blokkeren?

dinsdag 1 juli 2014 15:44

Acties:
  • ihre
  • Registratie: Juni 2004
  • Laatst online: 12-02 09:36

ihre

plizz schreef op dinsdag 01 juli 2014 @ 15:31:
Kan je router of firewall inkomende SSH blokkeren?
Dat gaat niet helpen, aangezien de OP SSH toegang tot zn MBP wil hebben bij diefstal of verlies

Ik vraag me ten eerste af, hoe je Macbook verbind met het internet? Via 3G, of rechtstreeks op een modem zonder firewall ertussen?

Brute-forcen op poort 22 is een bekend probleem, en er zijn enkele tools/mogelijkheden om dit te verhelpen:

[ Voor 17% gewijzigd door ihre op 01-07-2014 15:46 ]

dinsdag 1 juli 2014 15:52

Acties:
  • dragon4ce
  • Registratie: Oktober 2010
  • Niet online

dragon4ce

hardware freak

Wat misschien ook een optie is: ssh alleen vanaf een intern netwerk toestaan. een handig iets hiervoor is bijvoorbeeld http://neorouter.com. Hiermee maak je een extra netwerkadapter aan op je apparaat, wat dan een point to point vpn vormt met de andere apparaten die je eraan hangt. Als je SSH dan restrict tot die netwerkadapter krijg je dus geen ssh bruteforces meer binnen omdat alles voor de buitenwereld dicht staat.

Dit is vooral superhandig voor een heleboel services die je voor jezelf wel open wilt hebben maar niet naar de buitenwereld(RDP, SMB, SSH)

Omdat het kan.

dinsdag 1 juli 2014 15:56

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Koop inderdaad een router. Heb (bijna) nooit iemand met een laptop rechtstreeks aan het internet gezien.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 1 juli 2014 15:58

Acties:
  • JointFillah
  • Registratie: Juli 2000
  • Laatst online: 20-11 13:30

JointFillah

Techno Addict

De 'Security through obscurity' truc door ssh op andere poort te zetten helpt erg goed tegen dit soort (simpele) brute-force bots (op onze servers 100%).

fail2ban en dergelijke werken ook, maar dat is ook steeds blokkeren op ip en dat verandert steeds. Wij werden gek van de meldingen en ssh op ander poortje werkt dan beter (en kun je concentreren op de echte belangrijke meldingen van je firewall/security pakketten).

[ Voor 46% gewijzigd door JointFillah op 01-07-2014 16:01 ]

~* Peace, Love & XTC *~

dinsdag 1 juli 2014 16:00

Acties:
  • Umbrah
  • Registratie: Mei 2006
  • Nu online

Umbrah

The Incredible MapMan

JointFillah schreef op dinsdag 01 juli 2014 @ 15:58:
De 'Security through obscurity' truc door ssh op andere poort te zetten helpt erg goed tegen dit soort (simpele) brute-force bots (op onze servers 100%).
Tegen bute force, ja... tegen gerichte scans uiteraard 100% niet. Je kunt het beste dit soort services helemaal niet naar buiten publiceren, het is een reden waarom de meeste ISP routertjes die een optie bieden, kijhard schreeuwen: ZET NOOIT IETS IN DMZ, EIGEN RISICO.

dinsdag 1 juli 2014 16:06

Acties:
  • JointFillah
  • Registratie: Juli 2000
  • Laatst online: 20-11 13:30

JointFillah

Techno Addict

Umbrah schreef op dinsdag 01 juli 2014 @ 16:00:
[...]


Tegen bute force, ja... tegen gerichte scans uiteraard 100% niet. Je kunt het beste dit soort services helemaal niet naar buiten publiceren, het is een reden waarom de meeste ISP routertjes die een optie bieden, kijhard schreeuwen: ZET NOOIT IETS IN DMZ, EIGEN RISICO.
Helemaal mee eens. Liefst geen enkele service open zetten, maarja _als_ je dan persé een SSH service wil hebben (wat ik me goed kan voorstellen in bepaalde gevallen), dan scheelt het al 'ietsjes' als op een andere poort draait.

Overigens TS: er zijn toch neem ik aan ook Apple/Mac tracker/beveiligingspakketten die zelf contact maken met één of andere server naar buiten toe en op die manier 'commands' ontvangen? Die hoeven geen poort open te hebben staan naar binnen toe....?

Wellicht niet geschikt voor wat je nu allemaal doet met die ssh poort natuurlijk...maar wie weet een alternatief?

[ Voor 6% gewijzigd door JointFillah op 01-07-2014 16:07 ]

~* Peace, Love & XTC *~

dinsdag 1 juli 2014 16:49

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Coffee schreef op dinsdag 01 juli 2014 @ 14:25:
Alleen wil ik dit eigenlijk niet doen omdat ik commands geprogrameerd heb die mij helpen in het geval deze laptop (Macbook Pro 2012) gestolen wordt en/of verlies.
Handig! Is je MBP gejat, probeer je er heen te SSH-en, krijgt de dief een pop-up van little snitch _O- Of heb je een ander mechanisme in gedachten daarvoor :P

[ Voor 6% gewijzigd door Osiris op 01-07-2014 16:50 ]

woensdag 2 juli 2014 15:23

Acties:
  • Coffee
  • Registratie: Oktober 2012
  • Laatst online: 14:48

Coffee

Coffee

Topicstarter
Bedankt voor jullie reacties!

Ik ben eigenlijk niet van plan een router te kopen... Aangezien ik er al twee van in mn netwerk heb :p
Op dit moment is mijn Macbook verbonden via een router (ziggo). Incidenteel heb ik wel eens een vpn verbinding openstaan (om netflix' region block te kunnen omzeilen) waar al mijn internet dan door geroute wordt.

@Osiris; Haha! Ja daar had ik (deels) wel aan gedacht... Ik had namelijk een aantal ip adressen waarvan het wel toegestaan wordt. maarja, het liefst wil ik alle ip's toestaan en tóch die verdachte ip's wegfilteren....

EV3 +A LR, HA Yellow, Prusa Mini+, ERGA08EAV3H7 & EHBH08EF6V

woensdag 2 juli 2014 15:41

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Als je een beetje fatsoenlijke wachtwoorden hebt kun je ze ook gewoon laten negeren. Elke internet-aangesloten machine krijgt dit soort 'aanvallen'. Internetruis noem ik 't.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 2 juli 2014 15:47

Acties:
  • back2basic
  • Registratie: Juli 2007
  • Laatst online: 31-03 16:35

back2basic

Ik weet niet of het op een mac mogelijk is maar denk haast van wel.
Je kunt toch password login uitschakelen en met keys gaan werken...

Mijn iRacing profiel

woensdag 2 juli 2014 16:04

Acties:
  • chaoscontrol
  • Registratie: Juli 2005
  • Laatst online: 14:44

chaoscontrol

CyBeR schreef op woensdag 02 juli 2014 @ 15:41:
Als je een beetje fatsoenlijke wachtwoorden hebt kun je ze ook gewoon laten negeren. Elke internet-aangesloten machine krijgt dit soort 'aanvallen'. Internetruis noem ik 't.
Inderdaad, kan mij soms wel vermaken door naar mijn SSH log te kijken, welke usernames anno vandaag gebruikelijk zijn. :P

Inventaris - Koop mijn meuk!

woensdag 2 juli 2014 17:03

Acties:
  • ihre
  • Registratie: Juni 2004
  • Laatst online: 12-02 09:36

ihre

back2basic schreef op woensdag 02 juli 2014 @ 15:47:
Ik weet niet of het op een mac mogelijk is maar denk haast van wel.
Je kunt toch password login uitschakelen en met keys gaan werken...
Was net precies hetzelfde aan het typen, tot ik jouw post zag. Gebruik van ssh met public & private keys is zeker veilig.

Met de volgende 3 opties in /etc/sshd_config zet je password authentication e.d. uit. Dus, terminal -> $ vi /etc/sshd_config en zorgen dat de onderstaande opties er in staan. Afsluiten met :wq Het kan zijn dat enkele opties uit-gecommentarieerd zijn (# ervoor), die haal je dan weg. Vervolgens zou je met $ ssh-keygen -t rsa -b 2048 keys kunnen maken.
  • PasswordAuthentication no
  • PermitEmptyPasswords no
  • ChallengeResponseAuthentication no
https://developer.apple.c...es/man1/ssh-keygen.1.html

http://micheljansen.org/blog/entry/123

donderdag 3 juli 2014 09:54

Acties:
  • Coffee
  • Registratie: Oktober 2012
  • Laatst online: 14:48

Coffee

Coffee

Topicstarter
ihre schreef op woensdag 02 juli 2014 @ 17:03:
[...]
Maar hoe vul je die certificaten dan weer in als je ze niet bij de hand hebt? I.e. je zit in een internet cafe oid.

[ Voor 4% gewijzigd door Coffee op 03-07-2014 09:54 . Reden: Typo ]

EV3 +A LR, HA Yellow, Prusa Mini+, ERGA08EAV3H7 & EHBH08EF6V

donderdag 3 juli 2014 09:59

Acties:
  • idef1x
  • Registratie: Januari 2004
  • Laatst online: 11:35

idef1x

Coffee schreef op donderdag 03 juli 2014 @ 09:54:
[...]

Maar hoe vul je die certificaten dan weer in als je ze niet bij de hand hebt? I.e. je zit in een internet cafe oid.
USB stick?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq