نوشته‌شده در

چند عامل – آیا ایده خوبی است که یک لپ تاپ جدید برای تولید کلیدهای 2FA داشته باشیم؟

من بسیار نگران افرادی هستم که کیبورد یا تروجان را بر روی رایانه خود نصب می کنند.

بعضی ها گفتند که تنها راه مطمئن شدن این است که با انجام اصلاح کامپیوترها

آیا می توانم اطمینان حاصل کنم که هیچ کیبوردی در رایانه من بدون بازنشانی ویندوز وجود ندارد؟

در حالی که هکرهایی که کیلیوگرر را بر روی رایانه های من قرار می دهند ممکن است بتوانند رمز عبور من را دریافت کنند، نمی توانند 2FA خود را دریافت کنند. این زمانی است که من گوگل 2FA را بر روی یک کامپیوتر بسیار امن تولید می کنم.

بنابراین من قصد دارم یک لپ تاپ بخرم. نصب ویندوز و سپس حداقل برنامه ها، مانند بایت های مخرب را نصب کنید (حتی لازم است). سپس 2FA را روی آن لپ تاپ فعال می کنم.

شما چه فکر می کنید؟ یک ایده خوب؟ چه باید بکنم؟

نوشته‌شده در

حملات – سیاهههای مربوط به Port Knock پیشنهاد می کند که دستگاه آسیب دیده است؟

در دستگاه CentOS من، تمام پورت های من با قانون Iptables فیلتر می شوند: 

 DROP all - * 0.0.0.0/0 0.0.0.0/0

بنابراین از اینترنت، هر وقفه بندر.

تنها راه برای ssh به دستگاه، این است که دنباله Port Knock را به صورت زیر انجام دهید: 

 6 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 53853 recent: نام SET: طرف KNOCK1: منبع ماسک: 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 7 پیشوند "ssh port knocking 1"
7 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 6663 recent: CHECK seconds: 15 name: KNOCK1 side: mask source: 255.255.255.255 recent: نام SET: KNOCK2 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 2"
8xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 96563 recent: CHECK seconds: 15 name: KNOCK2 side: mask source: 255.255.255.255 recent: نام SET: KNOCK3 side: mask source : 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 3"
9xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 77799 recent: CHECK seconds: 15 name: KNOCK3 side: mask source: 255.255.255.255 recent: نام SET: KNOCK4 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 4"
10 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 12263 recent: CHECK seconds: 15 name: KNOCK4 side: mask source: 255.255.255.255 recent: SET name: OPEN_SESAME side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 5"
11 x x ACCEPT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: مثال SSH REAL PORT وضعیت جدید، مربوط، ایجاد شده اخیر: CHECK ثانیه: 15 نام: OPEN_SESAME سمت: منبع ماسک: 255.255.255.255
12 x x ACCEPT همه - * * 0.0.0.0/0 0.0.0.0/0 دولت مرتبط، ایجاد شده

اکنون در سیاههها بررسی میشوند، هر بار من توالی بندر را تغییر میدهم، در logqlog log پیدا میکنم که یک تلاش برای آن پورت نمونه خاص دست کشیدن 1، دست کشیدن 2 … و غیره ساخته شده است. [19659002] kernel: ssh port knocking 1 IN = eth0 OUT = MAC = example MAC SRC = IP مهاجم همیشه همان DST = IP من LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 48 ID = xxxx DF PROTO = TCP SPT = منبع DPT = ** هر کدام از من انتخاب کنید ** پنجره = 29200 RES = 0x00 SYN

هیچ پله ای برای هر پورت دیگر و هیچ پروب دیگر وجود ندارد.

به نظر می رسد که هر زمان که من آن را تغییر دهم، مهاجم متوجه دنباله می شود.

از آنجا که هیچ گونه ورودی دیگر برای هر گونه تلاش دیگر وجود ندارد، و نظارت بر tcpdump نشان می دهد هیچ پروب انجام نمی شود، ایمن است فرض کنید مهاجم می داند دنباله ای به دلیل دستگاه آسیب دیده است و او می شود اطلاعات هر زمان من آن را تغییر دهید؟