Dostal jsem mily pozdrav od VF.

Otevřená služba vzdáleného přístupu - FTP     IP: 89.102.197.56
port: TCP/21
čas zjištění: 2023-11-17 19:06:38
incident č. 200281

Poradi mi zde nekdo, co s tim mam podniknout? Zakazat sluzbu FTP v routeru? Nezboura mi to vzdalene pripojeni do prace?

Diky

FTP služba by za normálních okolností neměla se vzdáleným připojením do práce nijak souviset. Pokud ji nevyužíváš vědomě, tak ji zastav (což by mělo být takové obecné pravidlo - nemít povolené na routeru nic, o čem člověk není přesvědčený, že to potřebuje). 

Vzdalene pripojeni do prace je ven z routeru, takze zakazanim portu TCP/21 dovnitr ti to urcite nerozhazi. 

Mas takto dovnitr otevrenych vice portu? Urcite nedoporucuji pouzivat zname porty a radeji si v porty v port forwardingu nastavit z venku 3658 - > vevnitr na 22 (treba v ssh). Ja si radeji davam podminku na prichozi IP, zapezpecene spojeni a velmi silne heslo

Port 22 je SFTP a nikoliv FTP, takže to některá zařízení nemusí podporovat vůbec nebo sice ano, ale na úrovni přihlášení admina (třeba NAS Zyxel), což také nemusí být vždy žádoucí.

Uz je jasno. Pouzivam router Turris (CZ.NIC) a nedavno jsem se pripojil k jejich sluzbe Honeypot a Sentinel, coz jsou sluzby tykajici se bezpecnosti site. Ty prave otevrou nektere porty a provoz na nich presmeruji na svoje servery z duvodu analyzy hrozeb. 

Pokud tohle VF vadi, muzu to zase vypnout. VF by si mel ale o tomhle promluvit s CZ.NIC, protoze nejsem urcite jedinej. Uzivatelu Turrisu jsou stovky.

Tak snad Vodafone by neměl nic blokovat, ani by mu to nemělo vadit. Je to spíše jen upozornění.

Spousta lidí třeba nevědomky odesílá tisíce spamů denně a ani o tom neví, tak je dobré, že Vodafone upozorní na neobvyklou aktivitu nebo otevřené porty.

před 4 hodinami, homberg napsal:

VF by si mel ale o tomhle promluvit s CZ.NIC, protoze nejsem urcite jedinej.

To mohu potvrdit, že CZ.NIC, resp. Turris vedl diskusi s Vodafonem v roce 2021/2022. Za stranu Turrisu to řešil již bývalý presales kolega Petr Novák s někým ve Vodafonu (bohužel e-mailovou korespondenci již nemám k dispozici, ale podpora Turrisu jí má), a proto vznikla také generická odpověď, kterou podpora Turrisu má interně k dispozici. 

Za vývoj jsme tehdy přidali alespoň zmínku do dokumentace, že lidé se mají právě obrátit na podporu Turrisu, která s tou odpovědí pomůže, ale problém za vás nevyřeší a ani nevykomunikuje. Je možné se podívat zde:
https://gitlab.nic.cz/turris/user-docs/-/merge_requests/182/diffs

@hombergPěkné odpoledne, vše jsem ověřovala u kolegů z technické podpory, ale bude to třeba prověřit přímo k vaší službě. Proto váš požádám, abyste nás kontaktoval přes formulář https://tam.je/forum, následně se s vámi kolegové z technické podpory spojí a prokonzultují s vámi tento problém ohledně zabezpečení a daného incidentu.  

@Veronika - VodafoneJa jsem s nekym na TP mluvi hned druhy den po oznameni problemu. Ten clovek na telefonu mi nebyl schopen cokoliv poradit. Jen potvrdil, ze ten problem tam maji nahlaseny. Pozadal me, abych pockal, ze to preda nekomu kompetentnejsimu. Tak tedy cekam. Dnes meli zavolat, nevolali. Obavam se, ze ja uz v tom nic vic podniknout nemuzu (a ani nechci). Notabene kdyz navic @Pepe potvrdil, ze uz to CZ.NIC s Vodafonem resil, takze vi, o co jde.

@hombergPěkné odpoledne, určitě vás poprosím, abyste nám napsal přes odkaz, který jsem vám uvedla, ať to můžeme řešit dále. Díky za spolupráci.