Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il dom 17 ott 2021, 00:04 Paride Desimone ha scritto: Ciao Paride, grazie del suggerimento; Il 05-10-2021 10:23 Giuliano Curti ha scritto: > > Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > > >> . > > > > Riassumo, senza ripetere, le domande che avevo posto: > > 1) la disabilitazione dell'accesso per password rende SSH > > . > > Te la butto lì. E se a ssh ci affiancassi una VPN? > Francamente era l'idea di partenza, ma la rete per me è un terreno sconosciuto ed ogni passo in più è terribilmente faticoso. Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi brute force. Al momento ho rinunciato ad attivare OpenSSL perché l'impressione che ho avuto è che MOTION se ne serve solo per autenticare il server, non il client (studierò il reverse proxy tramite apache/nginxcome suggerito da qualcuno). Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore padronanza della rete. Paride Grazie, ciao, Giuliano >
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 05-10-2021 10:23 Giuliano Curti ha scritto: Il lun 4 ott 2021, 22:04 Mauro ha scritto: . Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban-) Te la butto lì. E se a ssh ci affiancassi una VPN? Paride -- http://keys.gnupg.net/pks/lookup?op=get=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
..oopss sul primo punto mi rispondo da solo Il ven 8 ott 2021, 23:11 Giuliano Curti ha scritto: > ... > > On 10/6/21, Diego Zuccato wrote: > > Il 06/10/2021 11:16, Giuliano Curti ha scritto: > > > > ho fatto una prova (in locale) e sembra funzionare, solo però per la porta > del webcontrol di motion, non riesco a reindirizzare le porte delle > telecamere, ammesso sia possibile; > ho visto che nella stessa istruzione si possono reindirizzare più porte; vedrò se questo risolve il problema. Chiedo scusa dell'inutile disturbo, grazie, saluti, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao a tutti,
scusate se riprendo questo discorso, ma nel mio faticoso viaggio nelle reti
ogni tanto mi imbatto in qualche ostacolo ostico;
ho deciso di sperimentare, prima di approcciare il reverse proxy, il
tunneling SSH, come suggerito da
On 10/6/21, Diego Zuccato wrote:
> Il 06/10/2021 11:16, Giuliano Curti ha scritto:
>
> ...
>
> . Inizia quindi pensando a cosa ti serve fare e a quanto
> vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
> alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
> vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
> chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
> poter accedere a remotehost:remoteport collegandoti a localhost:localport.
> Non è il massimo della comodità, però un malintenzionato dovrebbe poter
> bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
> servizio che si possa far girare...
ho fatto una prova (in locale) e sembra funzionare, solo però per la porta
del webcontrol di motion, non riesco a reindirizzare le porte delle
telecamere, ammesso sia possibile;
ho provato anche a reindirizzare le porte delle una camere una alla volta,
ma purtroppo qui il metodo fallisce, non riesco a visualizzare lo stream
della camera: non capisco quale sia la differenza che rende possibile uno e
impossibile l'altro.
Ho fatto anche un altro esperimento: ho fatto l'X forwarding e riesco a
lanciare il browser di rPi4 e vedo tutto (finora ho sperimentato in
locale); per metterlo a regime dovrò installare un X server su Android e
iOS; pensate sia una soluzione praticabile? Avete suggerimenti su Xserver
da installare nei due casi?
O forse è meglio che mi oriento subito sul reverse proxy che suggeriva
qualcuno?
spero di aver formulato con chiarezza contesto e quesiti; grazie
dell'attenzione, saluti,
giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 08/10/21 09:31, Diego Zuccato ha scritto: Neanche io ho mai fatto particolari modifiche, se non le poche necessarie per l'installazione di ISPConfig. Un problema che può essere grosso col setup di default è se si deve dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci sono diversi utenti correttamente collegati e qualche studente ritardatario sbaglia la pass (anche se non è sempre lo stesso), vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a cercare un problema inesistente. Chissà come l'ho scoperto... :) Capisco il problema ma diciamo che sia un caso moolto particolare; certo lui banna l'ip e se molti utenti accedono con lo stesso ip basta che venga bannato uno perché siano bannati tutti... è coerente. Comunque grazie Diego per aver chiarito e ribadisco che fail2ban sia un bel progetto, semplice ed efficace. Un saluto Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Neanche io ho mai fatto particolari modifiche, se non le poche necessarie per l'installazione di ISPConfig. Un problema che può essere grosso col setup di default è se si deve dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci sono diversi utenti correttamente collegati e qualche studente ritardatario sbaglia la pass (anche se non è sempre lo stesso), vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a cercare un problema inesistente. Chissà come l'ho scoperto... :) Il 07/10/2021 20:42, Piviul ha scritto: Il 04/10/21 22:04, Mauro ha scritto: non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici. io l'ho sempre usato e non ho mai toccato nulla se non creato alcune jail per servizi non gestiti da fail2ban e non ho mai avuto alcun minimo problema. Certo, se uno sbaglia la password per non ricordo quante volte (3/5?) viene bannato per un certo numero di minuti (5/10?) che aumentano mano a mano che vengono aumentati i fails log. Ad esser sincero non vedo nemmeno quali rogne si debbano incontrare... Piviul -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 07/10/21 20:48, Davide Prina ha scritto: dipende da cosa intendi per esporre # netstat -putan mi dice che non c'è nulla in ascolto su quella porta Se faccio partire sshd # systemctl start ssh poi la c'è sshd in ascolto sulla porta 22 Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece non c'è nessun IP con il comando: # fail2ban-client status sshd esposto intendo se la porta 22 è raggiungibile da Internet. Se non è raggiungibile ovviamente non ci possono nemmeno essere tentativi di accesso e ip bloccati... a meno di avere qualcuno in LAN di poco affidabile... Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 04/10/21 22:04, Mauro ha scritto: non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici. io l'ho sempre usato e non ho mai toccato nulla se non creato alcune jail per servizi non gestiti da fail2ban e non ho mai avuto alcun minimo problema. Certo, se uno sbaglia la password per non ricordo quante volte (3/5?) viene bannato per un certo numero di minuti (5/10?) che aumentano mano a mano che vengono aumentati i fails log. Ad esser sincero non vedo nemmeno quali rogne si debbano incontrare... Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 07/10/21 20:36, Piviul wrote: Il 07/10/21 20:10, Davide Prina ha scritto: [...] ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso ssh alla macchina... ma il pc espone la porta 22 in internet? dipende da cosa intendi per esporre # netstat -putan mi dice che non c'è nulla in ascolto su quella porta Se faccio partire sshd # systemctl start ssh poi la c'è sshd in ascolto sulla porta 22 Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece non c'è nessun IP con il comando: # fail2ban-client status sshd Ciao Davide -- Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 07/10/21 20:10, Davide Prina ha scritto: [...] ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso ssh alla macchina... ma il pc espone la porta 22 in internet? Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 22:04, Mauro wrote:
On 04/10/21 21:37, Davide Prina wrote:
ma file2ban dovrebbe essere sufficiente installarlo
non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
ma poi va tarato per le proprie necessita', altrimenti garantisco che le
rogne sono superiori ai benefici.
io lo sto usando su PC ad uso desktop, per ora non ho notato problemi, o
per lo meno, non mi sono accorto che eventuali problematiche avute erano
causa sua. Per questo avevo detto così...
guardando ora (ho guardato il man/l'help in questo momento)
$ zgrep Jail /var/log/fail2ban.log*
[...]
[...] fail2ban.jail [762]: INFOJail 'sshd' uses pyinotify {}
[...] fail2ban.jail [762]: INFOJail 'sshd' started
[...] fail2ban.jail [762]: INFOJail 'sshd' stopped
[...]
se interpreto correttamente sembra che mi metta costantemente in jail sshd
Strano perché io mi ricordavo di averlo disabilitato, in modo da averlo
installato e poterlo avviare alla bisogna.
Infatti
$ systemctl status ssh
mi dice che è disabilitato
# fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list:/var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso
ssh alla macchina...
Ma i comandi che ho dato sono corretti per verificare ciò che è stato
messo in ban?
Appena posso proverò a guardare l'altro PC su cui l'ho installato
Ciao
Davide
--
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il gio 7 ott 2021, 08:16 MAURIZI Lorenzo ha scritto: > ... > > È proprio l'autenticazione del client che mi interessa; non hai qualche > hint per poter indirizzare in modo produttivo la mia lettura? > > > > Su questo punto non sono molto preparato, non mi è mai capitato di dover > implementare una autenticazione del genere. > > Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve > anche arrivare all’applicazione, in modo da rilevare chi è che si collega e > dare le giuste autorizzazioni a quel tale utente. > .. > > si mette davanti a Motion un server web (Apache, nginx) che fa da reverse > proxy, si configura per fare autenticazione con certificato, poi viene > presentata l’autenticazione di motion e lì si dovrà fare un altro login con > user e password. > ..azz... L'affare si complica; verrebbe da dire "piatto ricco, mi ci ficco", ma non sono un pockerista Questa potrebbe essere una guida per configurare l’autenticazione SSL in > Apache: > http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/ > > Oppure per nginx: > https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication > > Ciao da Lorenzo > Grazie infinite Lorenzo; appena in grado seguirò le tue indicazioni, ciao, Giuliano >
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao Lorenzo, grazie; ... • Autenticazione del client più crittografia della comunicazione con il server web . Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura? Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere. Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve anche arrivare all’applicazione, in modo da rilevare chi è che si collega e dare le giuste autorizzazioni a quel tale utente. Quindi significa che l’autenticazione basata su certificati deve essere supportata anche dall’applicazione. Se Motion supporta solo l’autenticazione tramite user e password, lo scenario potrebbe essere: si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene presentata l’autenticazione di motion e lì si dovrà fare un altro login con user e password. Questa potrebbe essere una guida per configurare l’autenticazione SSL in Apache: http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/ Oppure per nginx: https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication Ciao da Lorenzo
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mer 6 ott 2021, 13:29 Diego Zuccato ha scritto:
Ciao Diego, grazie;
Il 06/10/2021 11:16, Giuliano Curti ha scritto:
>
> ...
> > user:passwd o con TLS.
> Opinione personale: lascia perdere user+pass e punta solo su TLS.
>
Bene, terrò presente.
Aggiungo, correggendo quando detto prima, che MOTION consente anche
l'autenticazione MD5 Digest;
> . fosse così
> > lascerei perdere perché non è questo il mio obbiettivo e un
> > malintenzionato non sarebbe assolutamente interessato a sapere se il mio
> > server è autenticato o meno.
> Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
> di garantire che le parti sono chi dicono di essere e che i pacchetti
> non sono stati alterati in transito.
>
Penso sia la prima parte che mi interessa: la garanzia che le parti, in
particolare il client, sono chi dicono di essere mi dovrebbe mettere al
sicuro da malintenzionati; mi sembra quello che diceva Lorenzo, devo capire
dove approfondire;
Chiaramente, se esponi un servizio insicuro (p.e. che permette
> esecuzione di codice arbitrario da parte di un utente non autenticato)
> questo rimarrà insicuro.
>
Questi lo capisco, ma questo dipende dalla qualità dell'applicativo
(MOTION); io temo di poter fare poco;
. Inizia quindi pensando a cosa ti serve fare e a quanto
> vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
> alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
> vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
> chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
> poter accedere a remotehost:remoteport collegandoti a localhost:localport.
> Non è il massimo della comodità, però un malintenzionato dovrebbe poter
> bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
> servizio che si possa far girare...
>
Grazie di questa indicazione; non la conosco, cercherò di approfondire.
Intanto ho disabilitato la connessione con password;
Diego Zuccato
Grazie, ciao,
Giuliano
>
>
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mer 6 ott 2021, 12:05 MAURIZI Lorenzo ha scritto: Ciao Lorenzo, grazie; ... · Autenticazione del client più crittografia della comunicazione con il server web . Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura? Grazie infinite, ciao, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 06/10/2021 11:16, Giuliano Curti ha scritto:
Arrivo solo ora, ma spero di poter essere utile.
L'autenticazione può essere fatta in due modi: o con la copia
user:passwd o con TLS.
Opinione personale: lascia perdere user+pass e punta solo su TLS.
Approfitto per una domanda su openSSL che era il mio oggetto di studio
attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire
l'autenticità del server, non alla sicurezza del sistema; fosse così
lascerei perdere perché non è questo il mio obbiettivo e un
malintenzionato non sarebbe assolutamente interessato a sapere se il mio
server è autenticato o meno.
Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
di garantire che le parti sono chi dicono di essere e che i pacchetti
non sono stati alterati in transito.
Chiaramente, se esponi un servizio insicuro (p.e. che permette
esecuzione di codice arbitrario da parte di un utente non autenticato)
questo rimarrà insicuro.
Se invece l'unica vulnerabilità (nota) del servizio è relativa al
passaggio delle credenziali o alla possibilità che qualcuno modifichi i
dati in transito, allora SSL ti aiuta molto.
Sono cresciuto con il "personal" computer, nel vero senso della parola;
ora mi trovo spaesato con le reti, che non conosco, e soprattutto la
sicurezza;
Sei in ottima compagnia :)
tutto il thread è la traccia del mio tentativo di risalire la china.
I miei dati, immagini e foto di una casa di campagna non sono
importanti, quindi sono poco interessato a soluzioni di crittografia del
traffico; sono piuttosto interessato a far si che il mio sistema non
possa essere utilizzato per attività malevole da terzi.
Una possibilità, molto drastica ma sicura, è non esporre nulla: tieni il
sistema isolato e non sarà utile per attività malevole. Ma probabilmente
neppure a te... Inizia quindi pensando a cosa ti serve fare e a quanto
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport.
Non è il massimo della comodità, però un malintenzionato dovrebbe poter
bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
servizio che si possa far girare...
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno. In teoria SSL/TLS over http (quindi HTTPS) può essere usato in due modi: · Solo crittografia della comunicazione tra client e server web · Autenticazione del client più crittografia della comunicazione con il server web Per evitare che regni l’anarchia, i certificati “ufficiali” sono rilasciati da delle autorità di certificazione note e inserite nel “truststore” dei browser web. Questo per evitare che chiunque, con openssl, possa creare un certificato fasullo di un sito noto e lo usi per truffare la gente (ad esempio con DNS poisoning). Quindi sì, oltre alla crittografia il certificato SSL, rilasciato da una Certification Authority nota e “trustata”, garantisce che il server è chi dice di essere. Nulla vieta, comunque, per cose fatte in casa, di autogenerarsi un certificato con OpenSSL e inserirlo nella configurazione del webserver (vedi il certificato snakeoil presente in Debian). Avrai dei warning da parte del browser di certificato rilasciato da fonte non autorevole, che ignorerai bellamente. Al limite puoi “trustare” nel tuo browser la Certification Authority casalinga che rilascia il certificato autogenerato, evitando il warning di sicurezza. Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P Saluti da Lorenzo
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 18:47 Piviul ha scritto: Ciao Piviul, grazie della risposta (in coda un chiarimento del contesto). Il 04/10/21 19:19, Giuliano Curti ha scritto: > > Potrei risolvere la parte motion / telecamere con openssl perché > > motion gestisce sia il webcontrol che le stream con modalità TLS: vi > > sembra una soluzione adatta? > > Su openssl ... > > > Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... Se vuoi ti dico brevemente cosa fa motion, poi cmq saltare a piè pari. Motion contiene un mini server web che trasmette una pagina di controllo (default porta 8080) ed il flusso video di ogni telecamera su una porta dedicata (tipicamente 8081, 8082, ecc.). ma fail2ban > un po' si. Il problema è l'autenticazione: chi si occupa > dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce > l'autenticazione in quale file di log, motion o chi per lui, scrive il > tentativo fallito? Una volta che lo hai .. > Più o meno il processo è quello quindi come prima cosa devi scoprire in > quale file di log vengono scritti i failing auth. > L'autenticazione può essere fatta in due modi: o con la copia user:passwd o con TLS. MOTION ha un file di log (/bar/log/motion.log) e dovrò controllare lì quello che dici. Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno. Spero di esser stato chiaro Piviul Sei stato chiarissimo e ti ringrazio, ciao, Giuliano --- Sono cresciuto con il "personal" computer, nel vero senso della parola; ora mi trovo spaesato con le reti, che non conosco, e soprattutto la sicurezza; tutto il thread è la traccia del mio tentativo di risalire la china. I miei dati, immagini e foto di una casa di campagna non sono importanti, quindi sono poco interessato a soluzioni di crittografia del traffico; sono piuttosto interessato a far si che il mio sistema non possa essere utilizzato per attività malevole da terzi.
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 04/10/21 19:19, Giuliano Curti ha scritto: Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta? Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata. Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... ma fail2ban un po' si. Il problema è l'autenticazione: chi si occupa dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce l'autenticazione in quale file di log, motion o chi per lui, scrive il tentativo fallito? Una volta che lo hai scoperto poi devi analizzare la riga relativa al failing log e devi trovare una espressione regolare per riconoscerla e per identificare l'ip del pc da cui è partita l'autenticazione; se non ricordo male quando hai queste informazioni devi creare una nuova jail con questi valori e a questo punto fail2ban sa contare quanti tentativi sono stati fatti e banna dopo un certo numero di tentativi falliti l'ip che li ha prodotti per un certo periodo di tempo. Più o meno il processo è quello quindi come prima cosa devi scoprire in quale file di log vengono scritti i failing auth. Spero di esser stato chiaro Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi ha scritto: > Buongiorno > > .. Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l'argomento. Ciao, Giuliano
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao, fail2ban su SSH lo lascerei solo per bloccare chi fa tentativi e quindi, una volta bannato, rifiutare le connessioni da quell’IP senza neanche fare attivare la risposta del daemon SSH. Capisco che implementare fail2ban sul collegamento https potrebbe essere difficoltoso. Però se il log dell’applicativo web che gestisce l’autenticazione è facile da interpretare, una regular expression che becchi il fallimento si può inventare. Pare che Motion abbia implementato i log sul failed logon un po’ di tempo fa: https://github.com/Motion-Project/motion/issues/348 https://github.com/Motion-Project/motion/pull/434 Chiedo scusa se queste cose sono state già dette, mi sono sicuramente perso dei pezzi. Ciao da Lorenzo Da: Giuliano Curti Inviato: martedì 5 ottobre 2021 12:24 A: debian-italian Oggetto: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder) Il lun 4 ott 2021, 22:04 Mauro mailto:ma...@teppisti.it>> ha scritto: On 04/10/21 21:37, Davide Prina wrote: > > ma file2ban dovrebbe essere sufficiente installarlo non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > On 04/10/21 21:37, Davide Prina wrote: > > > > ma file2ban dovrebbe essere sufficiente installarlo > > > non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, > Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 21:37, Davide Prina wrote: ma file2ban dovrebbe essere sufficiente installarlo non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici. il suo funzionamento e' semplice: controlla che che passa nei log, in base a una serie di regex verifica chi fa il cattivo e superata la soglia indicata lo mette in punizione, bannandolo o segnalandolo. Proprio il passaggio delle regole di filtro insieme al tempo di ban sono critiche perche' se iniziano i falsi positivi o se le maglie sono troppo strette le soprese diventano interessanti. M.
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 19:19, Giuliano Curti wrote: come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima; ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa lui di chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? non ho seguito tutto il discorso e forse non ho capito quale sia il problema. Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere, ad esempio, l'accesso da remoto direttamente. reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio? se entrambi i sistemi sono sicuri e non accessibili dall'attaccante è difficile indovinare la chiave privata... naturalmente dipende dall'algoritmo usato, dalla lunghezza della chiave, di come viene utilizzato, ... Se l'attaccante fa tentativi da remoto, hai installato file2ban e l'attaccante usa sempre lo stesso IP di partenza, allora riesce a fare pochi tentativi. le stream con modalità TLS ripeto non ho seguito il discorso e non sono pratico dei sistemi di telecamere. Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLS over HTTP == HTTPS, allora dipende dal metodo di autenticazione usato e dall'algoritmo utilizzato per creare il canale cifrato. Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro. Dovresti usare l'ultima versione TLS 1.3, impedire che si possa rinegoziare verso versioni precedenti, ... Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie di chiavi pubblica/privata, ognuna per un end point. Usi queste coppie di chiavi per autenticare i due end point. Cifri da un end point con la chiave pubblica dell'altro e gli invii il flusso cifrato e l'altro decifra con la sua chiave privata. In questo modo decidi tu lunghezza chiavi (naturalmente dipende anche dalle prestazioni), quando rigenerarle, ..., su che porta esporre, ... evitare l'hanshake e la negoziazione, ... E tutto questo presupponendo che i due end point non abbiano altri problemi di sicurezza che potrebbero rendere vane queste misure. Ciao Davide -- Sistema operativo: http://www.debian.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao a tutti, come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima; per SSH non dovrebbero esserci eccessivi problemi vista la mole di documentazione esistente, diverso sarà configurare la jail per motion e le telecamere di cui non trovo documentazione. Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio? Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta? Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata. Grazie, ciao, Giuliano
