Početak›Forumi›Linuks distribucije›Mandriva›Softver›Važno upozorenje
- This topic has 10 odgovora, 6 glasova, and was last updated 19 years, 8 months ranije by arunachala.
-
AutorČlanci
-
3. avgust 2004. u 9:05 am #4044BryceUčesnik
Bio sam dokon pa sam testirao na http://www.grc.com Mandrake linux 10.
Shields Up prijavljuje da su otvoreni portovi 111 i 819.
Za port 111 vam prenosim tekst koji mi je prijavio ShieldsUp (111/sunrpc! SUN REMOTE PROCEDURE CALL), dok za port 819 ne piše ništa.Problem rešava instalirani firewall ili korišćenje firewala ako ga je postavio internet provajder.
Ako još neko ima vremena neka proba da testira sistem, pa neka javi šta je našao.
3. avgust 2004. u 7:57 pm #20619arunachalaUčesnikPolako, polako, polako…
Nije nista strasno.Prvo da vidimo sta se desava sa nasim vratima i jesu li zaista tako sirom otvorena.
Glavni problem kod ovakvog on-line audita je sto nije uopste pouzdan! Moram da primetim da je ovo ipak vise jedna komercijalna atrakcija nego zaista koristan alat.
Prvo, nigde ne vidim da su pronadjena vrata koja sigurno moraju da budu otvorena da bi se uopste moglo izaci na Internet (ili si ti zaboravio da napises?):
– TCP 80 za http protokol
– UDP 53 za DNS protokol (eventualno i ista vrata TCP za neke veoma lose projektovane DNS servere – (citaj BIND))Sada da vidimo sta se radi sa RPC.
Remote Procedure Call (SUN je ovde zato sto je to njihova ideja, razvoj i implementacija) je universalni protokol koji se koristi od strane mnogih (gotovo svih) operativnih sistema.
Naravno, i Microsoft ga koristi na njihov svojstven nacin tako da je verovatno ovaj protokol postao izuzetno popularan zahvaljujuci bas njima – cuveni Blaster Exploit je iskoristio neke od zloupotreba ovog protokola od strane Microsofta. Secamo se toga jel’da? 🙂
Da se ne upustamo u detalje, koristi se upravo za ono sto mu ime kaze: zove dislocirane procedure, za razliku od Local Procedure Call.
Vise informacija o ovome na ovom Request for Comment:
http://www.faqs.org/rfcs/rfc1050.html
Ako tvoj sistem ima potrebe da comunicira sa spoljnim serverima i da poziva neke aplikacije, vrlo verovatno ce otvoriti ova vrata.Nakon toga, vrata 819 nisu dodeljena (jos) i mozda bi eventualno mogao da proveris da li su zaista otvorena na tvom sistemu.
Tabele sa vratima koja su dodeljena aplikacijama od strane IANA se mogu naci ovde:
http://www.iana.org/assignments/port-numbers
ili ovde, sto je malo vise pregledno:
http://www.networksorcery.com/enp/protocol/ip/ports00000.htmSada, buduci da imamo kompletan dostup sistemu koji koristimo…
Bas me zanima koliki je procenat masina sa Windows OS koje pohadjaju ovaj sajt. Ne da patim od bilo koje vrste rivaliteta nego onako…
… uvek mozemo da kontrolisemo ponasanje nase masine na Internetu.
Vec sam jednom rekao, mislim da je prilikom instaliranja dovoljno samo malo vise posvetiti paznje kada program za instalaciju postavlja pitanja za configuraciju zastitnog zida da bi se dobio prilicno siguran sistem.Drugo, pretpostavimo da su neka vrata malo vise otvorena…
Niko od nas ne izlazi na Internet dok je logovan kao root jel’tako?
(gotovo sam siguran da ni u jednom forumu na ovom sajtu niko nije savetovao da se izvesni programi pokrecu kao root… 😀 )Prema tome, i ako se desi da neko dodje u goste, nema sanse da otkrije nasu sigurnu lozinku koji koristimo SAMO za logovanje kao root. Znaci, nista root, nista svrljanje po sistemu i nista zloupotreba nasih dragih sistemskih fajlova. Jasno kao dan.
Naravno, moje primedbe se odnose na jedan prosecan sistem na masini koja se koristi kao radna stanica. Ako budemo govorili o serverima, situacija se nesto menja ali ni u tom slucaju nema mesta nikakvoj panici.Na kraju, do pre izvesnog vremena smo koristili operativne sisteme za koje nismo ni znali gde cure pa smo ipak mirno spavali.
Sta se sada promenilo? :-))3. avgust 2004. u 8:33 pm #20620goxonUčesnikvobra arnunchala ili kako vec!!!!! mislim da je stvarno dosta paranoisanja
4. avgust 2004. u 12:49 am #20621BryceUčesnikPolako, polako, polako…
Nije nista strasno.Prvo da vidimo sta se desava sa nasim vratima i jesu li zaista tako sirom otvorena.
Kad sam napisao ovo nisam mislio ništa loše, jer ShieldsUp je dobar alat za proveru sistema.
TCP port 80 ti neće prikazati da je otvoren pošto na njemu u trenutku testa sedi browser tako da je upad moguć samo ako uspeš da nateraš browser da izvrši neku operaciju koja je tebi potrebna, a to je samo moguće sa Internet Explorerom i pod Windowsom.
Koliko sam video problem postoji samo na ova dva porta koja sam naveo, dok su ostali zatvoreni ili sakriveni, mada je najveći problem sa portom 111, jer nikad ne znaš ko je sa druge strane, pa sam zato napisao da je mnogo bolje sprečiti nego lečiti, jer bez obzira na sve ne treba zaboraviti da uvek postoji mogućnost da može doći do situacije da neko spolja može preuzeti root ovlašćenja zbog nekog propusta za koji nismo ni svesni da postoji.
Koliko mi se čini ovo je brljoka SUN Microsystem-a, pa bi bilo lepo od njih da ovo srede, a što se mene tiče, ja ću ipak da se oklopim kao na Win-u, jer zahvaljujući tome što sam paranoičan i nepoverljiv prema svemu ni na Win-u ni na Linux-u ni jedan virus nije uspeo da me ugrozi.
Shvatam ja da je Linux izuzetno stabilan i bezbedan, ali znajući kakav je Windows i pošto je opšte poznato da ništa nije savršeno, ja ću ipak da se osiguram, jer sa podignutim firewallom svi portovi su sad nevidljivi.
4. avgust 2004. u 3:08 pm #20622densUčesnikI ja mislim da je grc dobar alat, ali mi nije jasno kakve veze ima da li on vidi port 53 ili 80… pogotovu ako se krije iza statefull firewalla.
Dakle moze se izlaziti na internet, surfovati, razlucivati (DNS) a da se sa druge strane portovi 53 i 80 uopste ne vide od spolja….
4. avgust 2004. u 10:36 pm #20623ManixUčesnikAko još neko ima vremena neka proba da testira sistem, pa neka javi …………..Kod mene je sve zatvoreno…….closed ili stealth……
5. avgust 2004. u 12:42 am #20624arunachalaUčesnikBryce, moja namera nije bila da kritikujem tvoj post nego samo da iznesem misljenje. Naravno, recnik je neformalan, ali mislim da ni nema potrebe za formalnostima 🙂
Sada, da pojasnimo o cemu pricamo.
Kada se projektuje neki sistem, vec na samom pocetku se predvidja nivo sigurnosti koji ce da bude primenjen. Razlog je prilicno jednostavan – cena jednog sistema raste eksponencijalno sa povecanjem stepena sigurnosti.
Pretpostavimo da jos uvek koristimo kao standard za sigurnosnu procenu jednog sistema Orange Book (http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html).
Da bi se preslo sa nivoa C1 na nivo C2, praveci prilicno grubu procenu, treba uloziti tri puta vise sredstava u odnosu na cenu samog hradware. (odrzavanje nisam razmatrao)Zbog toga je prva procena koju pravimo u projektovanju jednog informativnog sistema – koju vrstu zastite zelimo da primenimo.
To u sustini znaci da se nastoji da se proceni realni entitet eventualnog napada na nas buduci sistem:
– eventualni provalnik ce koristiti nas sistem kao gateway (obicno spammers, IRC ilegalni servisi ili sirenje odredjenih ideja – politickih ili drugih)
– ko bude zeleo da provali u sistem ce zeleti samo da nanese sto vise stete – obicno iz materijalnih razloga
– informacije koje se nalaze u sistemu ce biti glavna meta napada
– uglavnom se nadamo da ce nas sistem biti meta lovaca na trofeje – ko provali vise sistema (jedna utakmica ove vrste je bila u toku pre tri-cetiri meseca, ili tako nesto)
– nas sistem nudi usluge javne prirode (mail, http, ftp itd.) i jasno nam je da cemo uci u kompleksan lavirint kompromisa izmedju efikasne zastite i efikasne uslugeNaravno, ovo je samo jedan od aspekata koji se uzimaju u razmatranje, ali da se zaustavimo na tome.
Sada, gde bi smo se locirali u ovih nekoliko opcija??
Mozda bas ni u jednu jer nas dragi racunar koristimo uglavnom za zabavu, kulturno uzdizanje i eventualno malo za posao…
Uostalom, meni licno – a sebe svrstavam u srednju kategoriju korisnika, uopste ne treba nikakav provalnik da mi upropasti sistem: za to se brinem uglavnom ja sam. :-))
Prema tome, backup mojih radnih fajlova mi je redovna okupacija, konfiguracionih fajlova takodje a i svih extra programa koji mi trebaju.
Da ostavim sebe na miru, zeleo sam da kazem da jedan prosecan korisnik ni u trenucima najocajnije dosade ne razmatra na ovaj nacin sigurnost svog sistema. Hocemo li ga maltretirati nekim sajtom za pronalazenje rupa na racunaru? 🙂
Sigurno, to ne znaci da cemo da ostavimo pootvarane sve prilaze. (eventualno ko zeli tako nesto neka se javi, mogao bih da preporucim nekoliko operativnih sistema vec projektovanih u tu svrhu… 😀 )
Jednostavno, malo umerenosti i mudro koriscenje onoga sto je vec na raspolaganju moze da bude sasvim dovoljno.Ah da, sa sesnaestobitnom kriptografijom, da bi se provalila jedna lozinka treba uz malo srece, izvrsiti oko milijardu kombinacija. Danasnja kriptografija se zasniva uglavnom na 128 bita.
Racunaljku u ruke i recite mi koliko vremena treba zlonamernicima, sa jednom masinom od par hiljada MFlops, da provale sifru.
Molim da se uzme u obzir i maximalna prosecna brzina od 42 kbps za analognu vezu, 60 kbps za DNS i par stotina kbps za ADSL.
Zamalo da zaboravim, svakako uzeti u obzir i da priblizno barem jednom u sat vremena padne linija dok smo na Internetu sa analognom vezom i – naravno, svaki put dobijamo razlicitu IP addresu od provajdera.
Da budem iskren, nevaljalac koji je bas odlucio da se okoristi nasim sirotim sistemom obicno treba da pogodi samo poslednjih sesnaest bitova u adresi. (uneti ovu olaksicu u racunaljku)Odgovor na pitanje kakve veze ima jednosmerni DNS i http saobracaj za jedan sigurnosni audit.
Uzmimo DNS – to je osnova za sveukupan saobracaj na Internetu. Ne zato sto racunari, pametnice, imaju potrebu za njime nego uglavnom zbog onih sto se nalaze izmedju stolice i tastature…
Ne znam da li je iko ikad pokusao da koristi najobicniji browser unoseci samo adresse IP. Ja ponekad. Moj dijapazon se svodi na cetiri sajta. (od kojih dva u lokalnoj mrezi 🙂 ) Jednostavno ne funkcionise…Medjutim, postavimo jedan primer:
– Ilija zeli da posalje Jovanki e-mail. Sedne, kuca poruku i posle sat vremena pritisne taster [send].Sta se desava ispod haube:
– mail client kaze sistemu da ima poruku za mail.provajder.com
– sistem trazi adresu DNS servera – adresa je dobijena kada smo se povezali na provajder posredstvom DHCP. Obicno je nadje u /etc/resolv.conf. (Tacnije, ono sto se nalazi u resolv.conf je recursive resolver ali zovimo ga DNS svejedno)
– Zbog urodjene komplikacije, pretpostavimo da DNS server naseg provajdera ne moze da razresi adresu koju smo trazili.
– recursive resolver trazi pomoc od jednog od root authoritative nameservers – TLD DNS servera (Top Level Domain). Ovaj naravno nema pojma o ‘mail.provider.com’ ali ce reci – sto je njegov posao, adrese za authoritative servere za ‘.com’ domain. Odgovor koji je poslan sadrzi tzv. glue records sa adresama pomenutih servera.
– nas resolver sada zna gde da ide da pita za ‘provider.com’. Jedan od izabranih authoritative name servera ce da isporuci odgovor sa svojim glue records sa adresom(ama) od authoritative name servera za ‘provider.com’ domain.
– siromah resolver, sav srecan, napokon dobija adresu od ‘mail.provider.com’ i isporucuje je zahtevnom mail clientu koji se povezuje na mail server i salje poruku. (ovde nastaje drugi problem, sa mail forgery, ali izabrali smo kao primer DNS forgery)Treba napomenuti:
Resolver caching name serveri pamte adrese koje su trazene, u slucaju da ih neko ponovo trazi. Treba ih razumeti, posle tolikog posla, da bace adresu i za par minuta opet ih neko pita istu stvar – da se ubijes…
Naravno, to se radi sledeci odredjena pravila i posle izvesnog vremena adrese zastarevaju i budu izbrisane iz cache.Medjutim, sta se desava ako neko uspe da se domogne masine na kojoj se nalazi caching server? Moze da zameni adrese koje su zapamcene.
Obicno caching serveri nemaju pravo da menjaju authoritative answers ali ima i casnih izuzetaka: BIND… Ovaj cak i ako se koristi kao caching resolver ponekad daje authoritative answers za zone koje nisu u njegovom domenu.
Osim toga, onaj sto se ranije domogao masine sa DNS serverom i bez BIND-a moze da promeni cache. To je jedan scenario.Drugi je da budu napadnuti sami DNS authoritative serveri (obicno za second level domain). O tome ima dovoljno primera da bi se pravilo moglo potvrditi. U tom slucaju budu izmenjeni sami zone records u database.
I jos jedan nacin je da napadac presretne zahtev naseg sistema i da se predstavi kao caching resolver.
Ovo je jedna vrsta ‘man in the middle’ napada. Tada je napadac najefikasniji.Kao rezultat svega toga, sta se desava: Umesto da bude isporucena na adresu 2.4.6.8, sto je pravi mail.provider.com, poruka se isporucuje na 1.3.5.7, sto je adresa naseg napadaca.
Blazena Jovanka se uvece ne nalazi sa Ilijom nego sa kim – sa man in the middle!!
Firewall je ispravno postavljen, nema nekontrolisanih ulaza ali na zalost, to nije uvek dovoljno. Ovakvi scenariji se ne mogu prevideti kada se postavlja siguran sistem. Pronaci ispravna resenja je savim drugo pitanje ali to je stvar predispozicije i sposobnosti projektanta.
Ono sto sam mislio je da, zbog korektnosti, bilo koji program za sigurnosni audit treba da napomene da ne moze da izvrsi neke osnovne kontrole. Tacnije, da je gotovo beskoristan jer informacije koje se dobijaju nisu pouzdane.
Jasno je da niko nece koristiti ove programe za ozbiljan posao a sto se obicnog korisnika tice, vec smo videli.Nadam se da sam se malo pojasnio… 😀
5. avgust 2004. u 1:00 am #20625popeyeGlavni majstorPresretanje paketa se može vršiti samo ukoliko napadač ima pristup mašini na putu paketa koje šalje žrtva.
5. avgust 2004. u 1:21 am #20626arunachalaUčesnikU sustini, man in the middle se primenjuje u vezi gde se trazi autentikacija od obe strane (obicno VPN, SSL ili SSH povezivanja) i mozda je suvise elaboriran scenario za conectionless protokol kao UDP ali mislim da to ne znaci da se moze iskljuciti.
Da, DNS forgery podrazumeva izmenu DNS recorda sa odgovorom, ali gde cemo na kraju da stignemo sa svim detaljima? :-))5. avgust 2004. u 1:31 am #20627popeyeGlavni majstorPoenta je da se paketi mogu presresti samo ako dolaze (regularno ili na neki drugi način) do napadača. Scenario gde neko preuzima DNS servera radi jednog dial-up korisnika je poprilično neverovatan. Ako pak preko tog DNS-a krene da neselektivno (svima od kojih primi zahtev) lažira ip adresu podmećući svoju (recimo da ima lažni sajt preko koga iskorišćava propust u IE na mašini žrtve, ili prosto lažira SSL transkaciju radi podataka za kreditnu karticu), napraviće sam sebi DoS.
Sad, ako tačno zna šta želi, odnosno poznaje žrtvu kao i domen na koji će se nakačiti, može odraditi lažiranje SSH/VPN konekcija. Nije toliko jednostavno, jer se da proveriti. A i takve konekcije se uglavnom ostvaruju direktno po IP adresi čime se obilazi tumačenje imena.
Ako se napadač nalazi na lokalnoj mreži, stvar postaje daleko lakša i nema potrebe za preuzimanjem DNS servera.
-
AutorČlanci
Forum ‘Softver’ je zaključan za nove teme i odgovore.