Tato dokumentace je jen pro Turris OS 3.x, který se už nenachází na nově prodávaných routerech. Novou dokumentaci najdete na https://docs.turris.cz/.
Od verze Turris OS 3.9 je služby dříve známá jako SSH honeypot integrována do služby HaaS – Honeypot as a Service. HaaS je veřejně přístupná služba a je tedy dostupná i uživatelů, kteří nemají router Turris. Více informací ke službě HaaS naleznete přímo na jejích webových stránkách, kde naleznete podrobné informace o útocích na váš router a různé statistky. V tomto článku naleznete více informací o tom, k čemu SSH honeypot slouží a jak službu využít na routerech Turris.
SSH je jeden ze základních protokolů ve světě *nixových strojů, který se používá ke komunikaci mezi stroji, na kterých běží SSH server. SSH server je povolen v podstatě na každém domácím routeru a to často bez vědomí uživatele. V jistých případech běží místo SSH serveru Telnet, což je po bezpečnostní stránce mnohem horší, protože ten posílá a přijímá data v plaintextu.
Protože výrobci velmi zřídka aktualizují svůj firmware, šance, že na vašem routeru běží stará a nezabezpečená verze SSH serveru jsou velké. Čas od času se vydává nový CVEs (Common Vulnerabilities and Exposures), jako například #sambacry and #dirtycow. Výrobcům většinou nezáleží na tom jestli existuje případné bezpečnostní riziko nebo jsou někde otevřená zadní vrátka a místo aktualizování starého zařízení vám výrobce routeru často řekne, abyste si koupili nový. Tohle jsme chtěli s Turris Omnia změnit.
Abychom věděli, kdo jsou případní útočníci, jaké používají metody a ze kterých IP adres útočí, používáme SSH honeypot. Ve zkratce to je „nepravý“ SSH server na který úmyslně necháme útočníky se připojit a sledujeme jejich chování.
Na čím více cílů útočníci zaútočí, tím více o nich budeme mít informací a a tím větší je šance, že je odhalíme, zablokujeme (nebo opravíme postižená zařízení) a publikujeme o nich informace.
Pokud jste byli ve službě SSH honeypot registrování než se HaaS stal oficiální službou, stačí pouze přejít na oficiální stránku služby HaaS, kde naleznete statistiky ke všemu, co se ukládá pod vaším uživatelským profilem. Přihlaste se pomocí stejných přihlašovacích údajů, která jsme používali k přihlášení do Projektu Turris nebo pomocí MojeID.
Pro zprovoznění služby je třeba povolit sběr dat a stáhnout balíček SSH honeypot:
1. V uživatelském rozhraní Foris, přepněte se pod záložku Sběr dat tab, zaklikněte “Povolit sběr dat” a a validujte svůj email.
2. Rovněž ve Forisu, pod záložkou Updater zaklikněte balíček SSH honeypot
a potvrďte.
Balíček se automaticky stáhne a instaluje.
3. Pokračujte na stránky HaaSu, kde se přihlásíte pomocí emailu a hesla, když jste se přihlásili do Projektu Turris přes tuto stránku.
Na stránkách HaaSu v sekci Můj Honeypot pod Moje zařízení byste už měli vidět svůj router Turris a objeví se tam i ostatní zařízení, která se rozhodnete registrovat. Klikněte na konkrétní zařízení a uvidíte seznam sezení a můžete také zobrazit seznam útočníkem použitých příkazů.
Pokud používáte pro vzdálený přístup k routeru SSH na portu 22, bude nutné provést jeho přesměrování. Takto lze docílit stavu, kdy bude při připojení ze vzdálené adresy na port 22 (tzn. přes rozhraní WAN) provoz směřovat do honeypotu a opravdový SSH server bude dostupný na jiném portu. Změna portu může být vnímána jako jednoduchá ochrana před pokusy o vniknutí. Nejedná se ale o skutečné zabezpečení a proto je stále žádoucí používat pro přihlašování silné heslo, nebo ještě lépe přihlašování veřejným klíčem.
Postup pro nastavení je stejný jako pro přesměrování portu 22 na honeypot, lišit se budou pouze tato políčka:
Číslo vnějšího portu pak je nutné zadat vždy při připojování z vnějšku na router (při připojování z vnitřní sítě bude SSH stále dostupné na portu 22). Z praktických důvodů je pak lepší volit čísla, na kterých nejsou běžně provozovány jiné služby na protokolu TCP. Pozor, v případě, že nezadáte číslo portu a použije se výchozí hodnota 22, budete se připojovat do honeypotu, který může zaznamenat Vaše heslo! I z tohoto důvodu je tedy vhodné přihlašovat se pouze pomocí veřejného klíče.