arunachala

Napravljene poruke na forumu

Gledanje 11 članaka - 11 do 20 (od 38 ukupno)
1 2 3 4
  • Autor
    Članci
  • 23. septembar 2004. u 7:58 pm kao odgovor na: otvoreni portovi #21406
    arunachala
    Učesnik

    Zaista cudna kombinacija ta tvoja…

    Ali prvo odgovori na tvoja pitanja:

    1. Ako masina nije u mrezi ili ako je u mrezi a nema potrebe za daljinski pristup masini, moze da se ugasi sshd. Nema smisla drzati aktivan sshd i zatvoriti mu vrata. Sto se tice logovanja, mislim da treba proveriti kako je postavljena autentikacija u sistemu. Ako je sve u redu, nema potrebe za sshd.
    Ah da, molio bih pojasnjenje termina “nabaciti firewall” (nadam se da nije sinonim za razne vatrene dzukce cuvare i ostale zivuljke?)

    2. Imas li dovoljno strpljenja za resenje koje si predlozio? 🙂 (ozbiljno, ako budes nasao nacina da automatizujes proces, bilo bi veoma zanimljivo da vidimo kako je uradjeno. Nije nemoguce ali ne znam koliko vredi truda)
    Ako se prikljucujes na Internet preko modema, nemoj de se sekiras oko ovog problema. Verovatno ne treba da se brines ni ako imas neki drugi prikljucak (*DSL, kabal ili sl.), ali je to siroooka tema i ne ulazi u okvir tvojih pitanja.

    3. Portovi:
    TCP port 37: Time Protocol – RFC 868 – htttp://www.faqs.org/rfcs/rfc868.html
    – Na ovom portu slusaju time serveri zahteve za podesavanje sata na racunaru

    TCP port 113: Authentication Service – RFC 912 – http://www.faqs.org/rfcs/rfc912.html
    – Na ovom portu slusa authentication server, obicno zahtev za FTP prepoznavanje ali ima i drugih primena i nekih zloupotreba.

    TCP port 587: Submission – RFC 2476 – http://www.ietf.org/rfc/rfc2476.txt
    – Ovde ce se nalaziti/nalazi se dodatak/zamena za SMTP – ESMTP protocol. Jos u nailazenju i nije siroko primenjen.

    TCP port 631: Internet Printing Protocol – http://www.pwg.org/ipp
    – Pristup stampacima na Internetu – IPP protocol. CUPS je jedan od print servera koji ima implementiran ovaj protokol. Moze biti korisno u nekim specijalnim situacijama ali i veoma nesigurno.

    Sada, poslednja cetiri vrata vrlo verovatno nisu potrebna i servisi mogu biti uklonjeni sa liste za pokretanje na startovanju sistema.

    Mogu li da pokusam da pogodim kako su otvorena ta vrata? 😀

    Dakle,
    1. prilikom instaliranja sistema si svrljao po opcijama i postavio neke koje nisu standardne:
    – u postavljanja vremenske zone je postavljena opcija time servera
    – u postavljanju nacina prepoznavanja korisnika je dodata opcija za auth. server
    – kada je postavljan stampac, postavljeno je prepoznavanje po url

    2. Prilikom dodatnog installiranja nekih usluga si koristio tar datoteke i promenio neke opcije pre kompajliranja.

    3. u pitanju je neka egzoticna distribucija…

    4. u pitanju je nezadrziv nagon za ceprkanjem po sistemskim fajlovima 🙂

    Molim za feedback u vezi pogadjanja, ako sam uspeo da pogodim nesto, trazicu da mi se da’ zvanje zvanicnog vraca pogadjaca na sajtu. :-))

    18. septembar 2004. u 9:52 pm kao odgovor na: Pocetnicki problemi #21227
    arunachala
    Učesnik

    Otvorite konzolu i otkucajte:
    …$ ping 64.233.161.99
    Posaljite rezultat komande…

    Mozda nije potrebno ali… izvrsavanje komande “ping” se prekida sa [ctrl+C]

    18. septembar 2004. u 9:45 pm kao odgovor na: Security: guarddog #21094
    arunachala
    Učesnik

    Ako jos nisi resio problem, posalji tvoju konfiguraciju:
    Mrezne interface, nacin prikljucivanja na Internet (dialup ili drugo), da li sluzi za prikljucenje jos neke masine na Internet…

    Postavicemo iptables bez pasa, macaka i ostalih, mnogo je jednostavnije i sigurnije…

    18. septembar 2004. u 9:13 pm kao odgovor na: Linux security #21237
    arunachala
    Učesnik

    Obicno je potrebno jos nesto docackati 🙂

    http://iptables-tutorial.frozentux.net/iptables-tutorial.html

    18. septembar 2004. u 9:02 pm kao odgovor na: eth #21287
    arunachala
    Učesnik

    Otvori kao root:

    /etc/sysconfig/network-scripts/ifcfg-eth0

    izmeni: ONBOOT=yes
    u: ONBOOT=no

    Kao alternativa se moze koristiti Webmin:

    https://localhost:10000
    – Networking
    – Network configuration
    – Network interfaces
    – eth0 (Interfaces activated at boot time)
    – Postaviti “Activate at boot?” na “no”
    – Save and apply

    Ako ima vise od jedne kartice bice eth1 itd…

    18. septembar 2004. u 8:39 pm kao odgovor na: Safesquid-Content Filtering Proxy Server #21309
    arunachala
    Učesnik

    I realise that it’s pretty pointless (or not?) to tell you that we already discussed something about content filtering before.
    But nevertheless, did you already put an eye on these forums? 🙂

    I have to ask you: do you really need content filtering?
    Out there are many situations where content filtering may not be very suitable.

    I can list here several reasons against content filtering:
    – It’s pretty slow. You now, an average html page can contain thousands of expressions which all should be examinated following more or less complicated rules.

    – You should be aware of some ambiguous situations: We naturally don’t want to permit any “sex” to pass thorough our filter, but what about “Sussex”, “Essex” etc.? Or even more chiaroscuro situation: what if someone searches for such an argument: “Changes in temperature can cause embryonic reptiles to change sex”?
    It’s so clear – no sex, no results for our scientist.

    – You have to edit an almost endless list of banned expressions in English in order to protect your web surfers. But are you able to do so in other languages also? What if there is someone who speaks Serbian, Italian and Russian? You can find yourself with a pretty complete collection of prohibited pages on your net.

    So, I think that url filtering can perform very good job in place where you don’t have particular request for content filtering. It’s fast, reliable and cheep (free). You can download very complete and updated list of banned sites and url’s for free. I set my proxy servers for weekly download and it’s enough to maintain an updated database.

    Yes, I recommend Squid (http://www.squid-cache.org) as proxy server and Squidguard (http://www.squidguard.org) as filter/redirector controller.

    Although, if you really need a content filter, I recommend Dansguardian. (http://dansguardian.org)

    That’s all for now, if you need help about aforementioned programs feel free to contact me personally, you can use my mailbox at this site.

    18. septembar 2004. u 6:39 pm kao odgovor na: Umrezavanje preko kontrolnog centra? #20892
    arunachala
    Učesnik

    Postavljaj parametre za mrezu pomocu Webmin-a. Ovde je vec bilo reci o tome.

    18. septembar 2004. u 6:21 pm kao odgovor na: iptables, masquerade itd #21121
    arunachala
    Učesnik

    Prvo nekoliko pitanja:
    – Na Linux masini je postavljen server DNS?
    – Opet na Linux masini – je li postavljen WINS server?
    – Koji je Windows u pitanju?

    Ako ne (ja pretpostavljam da ne), konfiguracija na Wndows masini nije korektna: DNS server(i) treba da bude(u) adrese servera tvog provajdera – sto je najbrze resenje, ili neki drugi ako znas njihove adrese.

    Savet: WINS server ti nije potreban. To je ionako komercijalni idiotluk Microsofta – obogaljen DNS protokol (Windows Internet Name Service). Na Unix sistemima ulogu wins servera izvrsava Samba, tacnije nmbd demon. Ukloni to iz konfiguracije na windows masini.

    Proveri realno stanje iptables sa “iptables -L”,
    kontrolisi routing table sa “route”,
    proveri ip forwarding sa “cat /proc/sys/net/ipv4/ip_forward”.

    Kontrolisi i mrezne parametre kada si prikljucen na Internet (“ifconfig”) …

    Nekoliko stvari koje se mogu koristiti u dijagnosticke svrhe:

    na linux racunaru (dok je prikljucen na Internet):

    …$ ifconfig
    (dobije se lista aktivnih interface ippp0 bi trebao da bude onaj za Internet)
    …$ ping -I eth0 [adresa ippp0 koja se dobila prethodnom komandom]
    (ako nema odgovora kontrolisati routing table)
    …$ iptables -L
    (kontrolisati NAT table)
    …$ route
    (dobije se routing table kernela – ippp0 treba da bude main gateway)
    …$ ping http://www.google.com
    (treba da se dobije ip adressa nekog od google servera sa return time, ako nema odgovora, DNS server(i) nedostaju)

    na windows racunaru (dok je linux prikljucen na Internet):

    …$ route
    (u tvom slucaju default gateway 192.168.1.1)
    …$ ping [ip adresa ppp0 interface koja se dobila sa ifconfig na linuxu]
    (ako ne radi, nije dobro postavljena routing table na jednom od racunara)
    …$ ping [ip adresa google servera koja se dobila prethodnim pingovanjem sa desktop masine]
    (ako nema odgovora kontrolisati routing table na racunarima i NAT table u iptables)
    …$ ping http://www.google.com
    (treba da se dobije ip adressa nekog od google servera sa return time, ako nema odgovora, DNS server(i) nedostaju)

    5. avgust 2004. u 1:55 am kao odgovor na: Važno upozorenje #20628
    arunachala
    Učesnik

    Scenario gde neko preuzima DNS servera radi jednog dial-up korisnika je poprilično neverovatan

    To je upravo ono sto mislim, ne samo sto se tice DNS protokola nego vecine sigurnosnih problema. Ne verujem da ima smisla preuvelicavati opasnost u dial-up vezi.
    Ostala analiza se odnosila na sisteme koji su povezani sa spoljnim svetom javnim IP adresama, sa stalnim prikljuckom.
    Povlacim man in the middle iz relacije sa UDP protokolom… :-))

    Mada ipak….

    5. avgust 2004. u 1:21 am kao odgovor na: Važno upozorenje #20626
    arunachala
    Učesnik

    U sustini, man in the middle se primenjuje u vezi gde se trazi autentikacija od obe strane (obicno VPN, SSL ili SSH povezivanja) i mozda je suvise elaboriran scenario za conectionless protokol kao UDP ali mislim da to ne znaci da se moze iskljuciti.
    Da, DNS forgery podrazumeva izmenu DNS recorda sa odgovorom, ali gde cemo na kraju da stignemo sa svim detaljima? :-))

  • Autor
    Članci
Gledanje 11 članaka - 11 do 20 (od 38 ukupno)
1 2 3 4
+ Учитај још