Das unser Rechner nicht antwortet ist falsch. Es geht darum dass bevor der SSH Identifikationskette geschickt wird eine Kommunikation zwischen beiden möglich ist. Während der Angreifer also auf dem SSH wartet, schicken wir kleine Zeichenketten damit der Angreife weiter wartet. Deswegen braucht ein Tarpit auch nicht viel Leistung, nicht einmal bei 500 Verbindungen. Zudem ist es Quatsch F2B und SSH Tarpits zu vergleichen, da der Zeck beider ein ganz unterschiedlicher ist. Das Tarpit soll nicht dich selbst schützen sondern andere. Machen viele Leute mit rentieren sich die SSH Bots vielleicht eines Tages nicht mehr. Und sorry aber eine IP Adresse nach 10 Versuchen zu bannen ist auch nicht sonderlich schlau. Sie rotiert und ein "unschuldiger" ist gebannt ... B
@lutz.richter3 жыл бұрын
ich bin ja dafür nur per Schlüsselpaar sich zu verbinden ...
@Lauch-Melder3 жыл бұрын
Oder man ist so paranoid wie ich und verwendet Keys, dann 2FA und zum Schluss noch ein 32-Stelliges Passwort. Das ganze dann noch über nen custom Port, Login nur über einen User und gut ist. 😁
@MegaMVH3 жыл бұрын
@@Lauch-Melder Login nur über einen User und gut ist. 😁 .... root? :-)
@RainerK.3 жыл бұрын
Klar, aber die Angreifer bleiben ja. Ich hab sogar die Anmeldung per Passwort deaktiviert aber der sshd antwortet trotzdem erstmal.
@pafa45713 жыл бұрын
Danke für das Video. Kannst du uns zeigen wie wir das Tarpit als Dockercontainer einrichten ? Und kannst du uns auch zeigen wie wir Ntopng in Docker einbinden um unser Netzwerk zu überwachen? Liebe grüsse aus der Schweiz
@ulfknulf15763 жыл бұрын
Das würde mich auch interessieren. Danke
@Bhomasolini6 ай бұрын
Schöner Überblick. Aber das Fazit ist etwas kurz gedacht. Ein Tarpit, z.B. endlessh, sendet über das ssh Protokoll alle 10 Sekunden einen kurzen String. Das verbraucht kaum Systemresourcen. Weiterhin kann man clients limitieren usw. Daher ist die offene Session bei richtiger Konfiguration nicht problematisch. Tarpits sind meiner Meinung nach eine sinnvolle Ergänzung.
@chriss_wichannel75193 жыл бұрын
Ich habe tatsächlich das Tarpit installiert. Bei mir läuft es auf einem Raspberry Pi, der sich sonst nur mit VPN langweilt, dass ich nur benutze wenn ich sehr selten mal unterwegs bin, und ansonsten nur noch ein Pihole laufen hat. Bis auf den VPN Port, ist sonst nichts nach draußen freigegeben. Ich fand es eine interessante Sache, einfach mal ein paar Programmierer dazu zu bewegen ihre Netze etwas anzupassen. Das bisschen Internet Kapazität, was dabei draufgeht, ist mir völlig gleichgültig. Hat das Gerät ein kleines bisschen mehr zu tun, da es nicht antwortet, zu mindestens kaum Daten überträgt, bemerke ich es in meinem Alltag nicht. Der Schutz von anderen, mag sehr minimal sein, doch er ist vorhanden. Das reicht mir bereits. Fail 2 bann Marc bei tatsächlichen SSH Servern nützlich sein, doch in meinem Fall, ist der unterschied praktisch nicht gegeben. Warum sollte ich das Programm einsetzen, wenn der Port nicht nach draußen freigegeben ist. Dieser Port, wird von einem Skript blockiert, dass dafür sorgt, dass praktisch die Verbindung aufrecht erhalten wird und nicht geantwortet wird. Ein Vergleich zwischen den beiden würde ich nicht finden. Das eine schützt den eigenen Server sicher vor dem Eindringen. das andere ärgert eventuell die Botnetbetreiber weil die Rate zu mindestens ein kleines bisschen sinkt, wenn es um angegriffene Rechner geht.
@mr.nobody20873 жыл бұрын
Im Standardsetup bleibt es vielleicht dabei, dass dein System nur "minimal" mehr verbraucht. Die Verbindung ist trotzdem erstmal in deinem Netz. Dann kommt mal eben ein 0-Day (wie gesehen bei Amnesia:33 / Ripple20) um die Ecke und du bist selbst Teil des Botnetzes! Herzlichen Glückwunsch. :) Btw: Hast du dir die Sources vor der Installation angeguckt? Fail2Ban ist auch nur die 2. Stufe der Verteidigung. IDS / IPS sollten da die Bogons schon erkannt bzw. unterbunden haben.
@chriss_wichannel75193 жыл бұрын
@@mr.nobody2087 moin, Programme bauen ständig Verbindungen überall hin auf, oder nehmen Verbindungen an. Auch werden sehr häufig Verbindungen aufrecht erhalten. Ich kann schon verstehen, worauf sie hinaus wollen. Doch das Gilt für jedes Programm. Natürlich, wäre die beste Möglichkeit sich davor zu schützen, einen gewissen Stecker aus der Wand zu ziehen. Natürlich, ist das nicht mein Ziel, weil ich dafür das Internet zu sehr schätze. Es kann sein, dass eine Lücke in Programmen auf taucht. Natürlich, kann die Lücke auch entsprechend ausgenutzt werden, wenn entweder das Programm schlecht programmiert wurde oder mehrere Lücken zusammen kommen. Dann ist mir natürlich bewusst, dass der kleine Rechner auch Teil eines Botnets wird. Doch ich installiere regelmäßig Updates, so dass die Wahrscheinlichkeit eher gering ist. Was die Verteidigung gegen SSH angriffe angeht, so bin ich offen gesagt ein Noob, weshalb ich ja den Port nicht nach außen freigebe. Ich bin wenn man so möchte, lediglich ein Nutzer von Programmen. Die Sprache, die bei der Programmierung verwendet wurde, kann ich nicht verstehen. Deshalb, kann ich mir das Programm natürlich auch nicht anschauen. Wie gesagt, um die Last des Rechners oder der Internetleitung, mache ich mir keine großen Gedanken. Es kostet mich nichts, ihn weiter laufen zu lassen. Ob das Gerät etwas mehr Last oder nicht hat, spielt dabei dann auch keine Rolle mehr.
@mr.nobody20873 жыл бұрын
@@chriss_wichannel7519 Mit einer guten Firewalllösung kann ich das alles auch regeln, ohne den Stecker ziehen zu müssen. Das ganze sollte auch nur ein Denkanstoß sein und keine Kritik. Es wird nur oft nicht über solcher Sachen nachgedacht und anstatt 10 Verbindungen des Angreifers zu blockieren, stelle ich im auf einmal 10, 100, 10.000 oder whatever zur Verfügung. Bei einem Zero-Day Exploit helfen auch regelmäßige Updates leider nicht (immer rechtzeitig).
@Himmelkroner3 жыл бұрын
@@mr.nobody2087 Heute sind die Fehler meist ca. 30-90cm vor dem Bildschirm zu finden. Windows7 oder älter, keine Updates auf Router/Betriebssysteme/Software. Alles mögliche nach außen hin freigeben. Ich hab schon ganze Rechner in der (Möchtegern)DMZ bei Kunden/Bekannte gefunden, weil ein Port fürs "zogggännnn" für den Junior geöffnet werden sollte. Die Dummheit und/oder Unwissenheit von Anwendern hat keine Grenzen! Da wird probiert und gemacht, bis alle Ports offen sind. Von außen nach innen sollte bei privat grundsätzlich meiner Meinung nach nichts offen sein. Höchsten ein VPN. Selbst die Fritte macht ja bei passender Einstellung schon Ports auf und ist erreichbar. Von da ist es oft ein kleiner Weg für Angreifer. VPN, Tasker dazu am Android und bei jedem fremden WLAN ab übers VPN gegangen. Funktioniert perfekt und man kann alles seine Server erreichen. Natürlich schwierig, wenn ich meine Cloud mit anderen Teilen will usw. Ein gewisses Risiko hat man immer und ist auf jeden Fall dem Programmierer ausgeliefert bzw. der Firma mit Sicherheitspatches. Spannend wird in den nächsten Jahren das Thema Heimautomatisierung. Wenn da die Firmen den Dienst nicht mehr weiter Supporten, dann hast du den WLAN Toaster, der nach außen funken darf und dort halt gekapert wird. Einen solchen Fall gab es vor einigen Jahren mal. Dort wurde die IP einer pleite gegangen Firma genutzt um bei den OTA Updates Schadsoftware einzuspielen. Da ist so eine Teergrube oder Honeypot das geringste Übel und trägt sogar zu Sicherheit aller bei. Siehe mein Posting weiter oben.
@chriss_wichannel75193 жыл бұрын
@@mr.nobody2087 Kritik, ist immer gut. Denn wie soll man dann etwas lernen, wenn man nicht kritisiert wird. Was mich angeht, ich versuche die Fehler vor dem Bildschirm zu vermeiden. Ich überlege mir genau was ich frei gebe. Mein Vorredner wies bereits auf die FRITZ!Box hin. Da soll ich mich vielleicht auch mal genau umschauen, was die schon so frei hat. Einen Portscan bei mir, dürfte das Problem relativ schnell offenbaren. Einiges, muss aber offenbar nach außen freigegeben werden. Da bei der Verbindung des Angreifers allerdings nichts übertragen wird, mal abgesehen von ich bin noch da, ist mir egal, ob da 1.000.000.000 Verbindungen offen sind. Im Notfall, sind alle seine Ports dicht, meine dafür dann allerdings auch. Ich könnte mich jetzt natürlich damit rausreden, dass es einfachere Ziele gibt, als eines von möglicherweise 100 Skripts, die das selbe tun herauszufinden, ob das läuft. Um dann noch zu versuchen, eine Schwachstelle sowohl in dem Skript, als auch in der Ausführenden Programmiersprache und in Linux zu finden. Das geht einfacher. Man möge sich doch noch mal diverse schöne IP Kameras ansehen, natürlich von Nutzern betrieben die keine Ahnung haben, dass so etwas nicht ins Internet gehört. Um einen Angreifer durch diese Schichten durch zu lassen, muss man schon gezielt angegriffen werden. Herzlichen Glückwunsch, der jenige hat nur ungefähr 24 Stunden Zeit. Ist meine Internetverbindung dicht, zum Beispiel durch einen Dos angriff, geht das schneller. Schade, wenn man dann noch nicht durch ist. Von da an, kann der jenige es erneut bei einem anderen probieren. Ich weiß allerdings nicht, ob das auch für die IP V6 gilt. Doch das Lauscht da nicht. Alles in allem, fühle ich mich ziemlich sicher dadurch. Mir ist bewusst, dass auch noch versucht werden könnte, auf den Engin x Proxi Manager zu zugreifen. Dahinter steht ein gewisser Container, der sich um meine Passwörter kümmert. Daran darf sich der Angreifer auch gerne versuchen, und sich gerne die Zähne ausbeißen. Zu mindestens an meinem Tresor. Paranoide Handlungsweisenoder ein sehr hohes Sicherheitsgefühl, sie dürfen sich jetzt aussuchen, was sie am liebsten verwenden möchten, ist allerdings eine sehr gute Eigenschaft. Bei meine Familie wünsche ich mir das auch. Natürlich, bei wichtigen Daten, will man einfach nicht, dass ein Angreifer reinkommt. Doch das Skript läuft wirklich nur bei einem VPN und Pihole Rechner, wo nichts anderes drauf läuft. Die containerisierten Passwort Geschichten, laufen wiederum auf einem anderen Rechner. Allerdings bin ich da zu blöd, die Admin Webseite aufzurufen. Naja, im schlimmsten Fall, leit sich jemand Speicher für seine Passwörter und sichere Notizen. Ist der Speicher voll, lösche ich den Container einmal komplett, und füge einfach meine Passwörter wieder ein. So lange macht es mir nichts aus, wenn jemand den Speicher mit benutzt. An meinen Tresor kommt er so schnell nicht ran. Von den anderen Containern, ist der Angreifer ja auch getrennt.
@norbertruthers24083 жыл бұрын
Sicher erledigt fail2ban den Job ebenso muss aber auf jedem Client laufen. Ich bin deshalb aus Prinzip ein Fan von Netzweiten Lösungen wie Tarpit und z.B. auch Pihole Wenn jeder so etwas laufen hätte würde manchen Leuten der Spaß am scannen vergehen
@leonardlassen70273 жыл бұрын
Cooles Video, kannst du da auch ein Video zu pfsense machen, wo du erklärst wie es dort geht? Grüße Leonard
@gerdmuster45413 жыл бұрын
Danke
@MrHelpStation3 жыл бұрын
Ich weiß garnicht ob es das gibt, aber kann man bei Fail to Ban auch ACLs einsetzen? Idee dahinter wäre mehrere Server gleichzeitig zu kombinieren.
@RainerK.3 жыл бұрын
Den ssh Port zu ändern bringt nix, nach 2-3 Tagen ist der auch gefunden und man hat wieder dieselben Angreifer.
@shadowrob77093 жыл бұрын
Kann ich so nicht bestätigen unsere Statistiken über Jahren über 4Stellige Kunden VM`s haben ergeben das die Meisten Botnetze nur noch Standard Ports Abfragen da die Erfolgschance größer ist auf Masse zu gehen da genug offen ist.
@bliblabl81493 жыл бұрын
Port 22 gar nicht nach außen öffnen, gibt nicht einen Grund dafür!
@TheMeggo943 жыл бұрын
Würde das den Tarpit überflüssig machen? Also wenn man Port 22 erst garnicht öffnet?
@bliblabl81493 жыл бұрын
@@TheMeggo94unnötig, überflüssig, arbeitslos, nenne es wie du willst. Hinter einer geschlossenen Tür brauchst du keinen Türsteher.
@RainerK.3 жыл бұрын
Was verstehst Du unter "aussen"? Wenn man einen Server im Internet stehen hat und per ssh drauf muss, hat man ja keine Wahl.
@bliblabl81493 жыл бұрын
@@RainerK. doch. Es gibt immer ein lokales Netz auf das man per VPN drauf kann. Ssh gehört nicht ins Internet.
@murmel2223 жыл бұрын
Danke für das Video sehe ich genauso, für ärgern kann mann das mahl machen aber file2ban ist besser.
@viralbox56032 жыл бұрын
Würden ALLE tarpit nutzen, wäre das Problem mit offenen Session eher ein Vorteil. Die Endemie der Botnetze.
@playdiver56413 жыл бұрын
SSH Zugriff (für alle Benutzer) nur auf Key beschränkt - die Welt wird besser
@RaspberryPiCloud3 жыл бұрын
Absolut. Kann man das bei Linux irgendwie voraussetzen oder muss man einfach durchziehen ?
@playdiver56413 жыл бұрын
@@RaspberryPiCloud Mann kan den SSH Demon passend anpassend. Default Wert #PasswordAuthentication yes Soll Wet: PasswordAuthentication no Vorher natürlich den SSH-Key (am besten ed25519 benutzen) beim User hinterlegen Dienst Neustarten - gut ist (Trotzdem passe ich den SSH-Port an und habe trotzdem den Ban2Fall laufen - nötig wird das eigentlich nicht mehr)
@xcuzimpr0hd9443 жыл бұрын
Alternative ist Fake-SSH findet man auf GitHub. Einfach kein SSH auf haben und auf einen anderen Port umlegen. Intern den Port als alias als 22 legen
@manuelkopp13823 жыл бұрын
Wäre das nicht interessant so wie es semper gezeigt hat, die Daten im log auszuwerten? Wenn das viele Menschen machen und die Metadaten zusammen gefasst werden , gibt es sicher interessante Einblicke in die Welt der ssh Angriffe!?
@watchme10093 жыл бұрын
In einem Jahr liegt SSH offiziell auf Port 46503... :-D Danke dafür ^^
@RaspberryPiCloud3 жыл бұрын
Bitte gerne.
@RaspberryPiCloud3 жыл бұрын
Denke meine Reichweite reicht da einfach nicht
@mr.nobody20873 жыл бұрын
Aus meiner Sicht absolut sinnlos. Ich kenne Honeypots bei denen zumindest die Loginversuche inkl. Benutzername und Passwort protokolliert werden. Aus solchen Logs kann ich dann Schlüsse für mich ziehen und Gegenmaßnahmen ergreifen. Eine SSH-Session jetzt auch noch freiwillig in mein Netz (seperat oder nicht) zu lassen und damit dann auch noch Ressourcen zu binden. why ? Zum Argument "In der Zeit, in der die Session bzw. der Bot bei mir klebt, kann er nirgendwo anders angreifen..." Ich kann rein theoretisch 65535 Ports ausgehend pro Host nutzen.... ein Botnetz besteht aus 10.000 ? 100.000 ? 1.000.000? 10.000.000 Bots ? Viel Spaß.... Ich denke jedes Gerät auf der Welt müsste da "einige" Sessions "kleben" damit es überhaupt einen Effekt gibt. Wie gesagt: Aus meiner Sicht ein nutzloses Stück Software.
@The_Think3r3 жыл бұрын
Dem ist nichts mehr hinzuzufügen!
@RaspberryPiCloud3 жыл бұрын
Ist ja quasi mein Fazit, bestens wiedergegeben! Danke Nobody
@bebored0233 жыл бұрын
Das ist Äpfel mit Birnen vergleichen
@RaspberryPiCloud3 жыл бұрын
Zum Glück ist es beides Obst.
@bliblabl81493 жыл бұрын
@@RaspberryPiCloud endlich sagt das mal jemand! Man kann nämlich alles mit allem vergleichen. Was falsch wäre, wäre es unterschiedliche Dinge gleichzusetzen. Bei dem Apfel-Birnen-Spruch ist die deutsche Sprache nicht sehr genau.
@Philipp_DE13373 жыл бұрын
Schau dir mal MobaXterm an, finde ich besser als putty.
@mr.nobody20873 жыл бұрын
Ist nur leider "Closed Source" und in der "Home" sehr beschränkt einsetzbar.