Latinica

[arunachala]

Bryce, moja namera nije bila da kritikujem tvoj post nego samo da iznesem misljenje. Naravno, recnik je neformalan, ali mislim da ni nema potrebe za formalnostima 🙂

Sada, da pojasnimo o cemu pricamo.
Kada se projektuje neki sistem, vec na samom pocetku se predvidja nivo sigurnosti koji ce da bude primenjen. Razlog je prilicno jednostavan – cena jednog sistema raste eksponencijalno sa povecanjem stepena sigurnosti.
Pretpostavimo da jos uvek koristimo kao standard za sigurnosnu procenu jednog sistema Orange Book (http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html).
Da bi se preslo sa nivoa C1 na nivo C2, praveci prilicno grubu procenu, treba uloziti tri puta vise sredstava u odnosu na cenu samog hradware. (odrzavanje nisam razmatrao)

Zbog toga je prva procena koju pravimo u projektovanju jednog informativnog sistema – koju vrstu zastite zelimo da primenimo.
To u sustini znaci da se nastoji da se proceni realni entitet eventualnog napada na nas buduci sistem:
– eventualni provalnik ce koristiti nas sistem kao gateway (obicno spammers, IRC ilegalni servisi ili sirenje odredjenih ideja – politickih ili drugih)
– ko bude zeleo da provali u sistem ce zeleti samo da nanese sto vise stete – obicno iz materijalnih razloga
– informacije koje se nalaze u sistemu ce biti glavna meta napada
– uglavnom se nadamo da ce nas sistem biti meta lovaca na trofeje – ko provali vise sistema (jedna utakmica ove vrste je bila u toku pre tri-cetiri meseca, ili tako nesto)
– nas sistem nudi usluge javne prirode (mail, http, ftp itd.) i jasno nam je da cemo uci u kompleksan lavirint kompromisa izmedju efikasne zastite i efikasne usluge

Naravno, ovo je samo jedan od aspekata koji se uzimaju u razmatranje, ali da se zaustavimo na tome.

Sada, gde bi smo se locirali u ovih nekoliko opcija??
Mozda bas ni u jednu jer nas dragi racunar koristimo uglavnom za zabavu, kulturno uzdizanje i eventualno malo za posao…
Uostalom, meni licno – a sebe svrstavam u srednju kategoriju korisnika, uopste ne treba nikakav provalnik da mi upropasti sistem: za to se brinem uglavnom ja sam. :-))
Prema tome, backup mojih radnih fajlova mi je redovna okupacija, konfiguracionih fajlova takodje a i svih extra programa koji mi trebaju.
Da ostavim sebe na miru, zeleo sam da kazem da jedan prosecan korisnik ni u trenucima najocajnije dosade ne razmatra na ovaj nacin sigurnost svog sistema. Hocemo li ga maltretirati nekim sajtom za pronalazenje rupa na racunaru? 🙂
Sigurno, to ne znaci da cemo da ostavimo pootvarane sve prilaze. (eventualno ko zeli tako nesto neka se javi, mogao bih da preporucim nekoliko operativnih sistema vec projektovanih u tu svrhu… 😀 )
Jednostavno, malo umerenosti i mudro koriscenje onoga sto je vec na raspolaganju moze da bude sasvim dovoljno.

Ah da, sa sesnaestobitnom kriptografijom, da bi se provalila jedna lozinka treba uz malo srece, izvrsiti oko milijardu kombinacija. Danasnja kriptografija se zasniva uglavnom na 128 bita.
Racunaljku u ruke i recite mi koliko vremena treba zlonamernicima, sa jednom masinom od par hiljada MFlops, da provale sifru.
Molim da se uzme u obzir i maximalna prosecna brzina od 42 kbps za analognu vezu, 60 kbps za DNS i par stotina kbps za ADSL.
Zamalo da zaboravim, svakako uzeti u obzir i da priblizno barem jednom u sat vremena padne linija dok smo na Internetu sa analognom vezom i – naravno, svaki put dobijamo razlicitu IP addresu od provajdera.
Da budem iskren, nevaljalac koji je bas odlucio da se okoristi nasim sirotim sistemom obicno treba da pogodi samo poslednjih sesnaest bitova u adresi. (uneti ovu olaksicu u racunaljku)

Odgovor na pitanje kakve veze ima jednosmerni DNS i http saobracaj za jedan sigurnosni audit.

Uzmimo DNS – to je osnova za sveukupan saobracaj na Internetu. Ne zato sto racunari, pametnice, imaju potrebu za njime nego uglavnom zbog onih sto se nalaze izmedju stolice i tastature…
Ne znam da li je iko ikad pokusao da koristi najobicniji browser unoseci samo adresse IP. Ja ponekad. Moj dijapazon se svodi na cetiri sajta. (od kojih dva u lokalnoj mrezi 🙂 ) Jednostavno ne funkcionise…

Medjutim, postavimo jedan primer:
– Ilija zeli da posalje Jovanki e-mail. Sedne, kuca poruku i posle sat vremena pritisne taster [send].

Sta se desava ispod haube:

– mail client kaze sistemu da ima poruku za mail.provajder.com
– sistem trazi adresu DNS servera – adresa je dobijena kada smo se povezali na provajder posredstvom DHCP. Obicno je nadje u /etc/resolv.conf. (Tacnije, ono sto se nalazi u resolv.conf je recursive resolver ali zovimo ga DNS svejedno)
– Zbog urodjene komplikacije, pretpostavimo da DNS server naseg provajdera ne moze da razresi adresu koju smo trazili.
– recursive resolver trazi pomoc od jednog od root authoritative nameservers – TLD DNS servera (Top Level Domain). Ovaj naravno nema pojma o ‘mail.provider.com’ ali ce reci – sto je njegov posao, adrese za authoritative servere za ‘.com’ domain. Odgovor koji je poslan sadrzi tzv. glue records sa adresama pomenutih servera.
– nas resolver sada zna gde da ide da pita za ‘provider.com’. Jedan od izabranih authoritative name servera ce da isporuci odgovor sa svojim glue records sa adresom(ama) od authoritative name servera za ‘provider.com’ domain.
– siromah resolver, sav srecan, napokon dobija adresu od ‘mail.provider.com’ i isporucuje je zahtevnom mail clientu koji se povezuje na mail server i salje poruku. (ovde nastaje drugi problem, sa mail forgery, ali izabrali smo kao primer DNS forgery)

Treba napomenuti:
Resolver caching name serveri pamte adrese koje su trazene, u slucaju da ih neko ponovo trazi. Treba ih razumeti, posle tolikog posla, da bace adresu i za par minuta opet ih neko pita istu stvar – da se ubijes…
Naravno, to se radi sledeci odredjena pravila i posle izvesnog vremena adrese zastarevaju i budu izbrisane iz cache.

Medjutim, sta se desava ako neko uspe da se domogne masine na kojoj se nalazi caching server? Moze da zameni adrese koje su zapamcene.
Obicno caching serveri nemaju pravo da menjaju authoritative answers ali ima i casnih izuzetaka: BIND… Ovaj cak i ako se koristi kao caching resolver ponekad daje authoritative answers za zone koje nisu u njegovom domenu.
Osim toga, onaj sto se ranije domogao masine sa DNS serverom i bez BIND-a moze da promeni cache. To je jedan scenario.

Drugi je da budu napadnuti sami DNS authoritative serveri (obicno za second level domain). O tome ima dovoljno primera da bi se pravilo moglo potvrditi. U tom slucaju budu izmenjeni sami zone records u database.

I jos jedan nacin je da napadac presretne zahtev naseg sistema i da se predstavi kao caching resolver.
Ovo je jedna vrsta ‘man in the middle’ napada. Tada je napadac najefikasniji.

Kao rezultat svega toga, sta se desava: Umesto da bude isporucena na adresu 2.4.6.8, sto je pravi mail.provider.com, poruka se isporucuje na 1.3.5.7, sto je adresa naseg napadaca.

Blazena Jovanka se uvece ne nalazi sa Ilijom nego sa kim – sa man in the middle!!

Firewall je ispravno postavljen, nema nekontrolisanih ulaza ali na zalost, to nije uvek dovoljno. Ovakvi scenariji se ne mogu prevideti kada se postavlja siguran sistem. Pronaci ispravna resenja je savim drugo pitanje ali to je stvar predispozicije i sposobnosti projektanta.

Ono sto sam mislio je da, zbog korektnosti, bilo koji program za sigurnosni audit treba da napomene da ne moze da izvrsi neke osnovne kontrole. Tacnije, da je gotovo beskoristan jer informacije koje se dobijaju nisu pouzdane.
Jasno je da niko nece koristiti ove programe za ozbiljan posao a sto se obicnog korisnika tice, vec smo videli.

Nadam se da sam se malo pojasnio… 😀

[arunachala]

Polako, polako, polako…
Nije nista strasno.

Prvo da vidimo sta se desava sa nasim vratima i jesu li zaista tako sirom otvorena.

Glavni problem kod ovakvog on-line audita je sto nije uopste pouzdan! Moram da primetim da je ovo ipak vise jedna komercijalna atrakcija nego zaista koristan alat.
Prvo, nigde ne vidim da su pronadjena vrata koja sigurno moraju da budu otvorena da bi se uopste moglo izaci na Internet (ili si ti zaboravio da napises?):
– TCP 80 za http protokol
– UDP 53 za DNS protokol (eventualno i ista vrata TCP za neke veoma lose projektovane DNS servere – (citaj BIND))

Sada da vidimo sta se radi sa RPC.
Remote Procedure Call (SUN je ovde zato sto je to njihova ideja, razvoj i implementacija) je universalni protokol koji se koristi od strane mnogih (gotovo svih) operativnih sistema.
Naravno, i Microsoft ga koristi na njihov svojstven nacin tako da je verovatno ovaj protokol postao izuzetno popularan zahvaljujuci bas njima – cuveni Blaster Exploit je iskoristio neke od zloupotreba ovog protokola od strane Microsofta. Secamo se toga jel’da? 🙂
Da se ne upustamo u detalje, koristi se upravo za ono sto mu ime kaze: zove dislocirane procedure, za razliku od Local Procedure Call.
Vise informacija o ovome na ovom Request for Comment:
http://www.faqs.org/rfcs/rfc1050.html
Ako tvoj sistem ima potrebe da comunicira sa spoljnim serverima i da poziva neke aplikacije, vrlo verovatno ce otvoriti ova vrata.

Nakon toga, vrata 819 nisu dodeljena (jos) i mozda bi eventualno mogao da proveris da li su zaista otvorena na tvom sistemu.
Tabele sa vratima koja su dodeljena aplikacijama od strane IANA se mogu naci ovde:
http://www.iana.org/assignments/port-numbers
ili ovde, sto je malo vise pregledno:
http://www.networksorcery.com/enp/protocol/ip/ports00000.htm

Sada, buduci da imamo kompletan dostup sistemu koji koristimo…

Bas me zanima koliki je procenat masina sa Windows OS koje pohadjaju ovaj sajt. Ne da patim od bilo koje vrste rivaliteta nego onako…

… uvek mozemo da kontrolisemo ponasanje nase masine na Internetu.
Vec sam jednom rekao, mislim da je prilikom instaliranja dovoljno samo malo vise posvetiti paznje kada program za instalaciju postavlja pitanja za configuraciju zastitnog zida da bi se dobio prilicno siguran sistem.

Drugo, pretpostavimo da su neka vrata malo vise otvorena…
Niko od nas ne izlazi na Internet dok je logovan kao root jel’tako?
(gotovo sam siguran da ni u jednom forumu na ovom sajtu niko nije savetovao da se izvesni programi pokrecu kao root… 😀 )

Prema tome, i ako se desi da neko dodje u goste, nema sanse da otkrije nasu sigurnu lozinku koji koristimo SAMO za logovanje kao root. Znaci, nista root, nista svrljanje po sistemu i nista zloupotreba nasih dragih sistemskih fajlova. Jasno kao dan.
Naravno, moje primedbe se odnose na jedan prosecan sistem na masini koja se koristi kao radna stanica. Ako budemo govorili o serverima, situacija se nesto menja ali ni u tom slucaju nema mesta nikakvoj panici.

Na kraju, do pre izvesnog vremena smo koristili operativne sisteme za koje nismo ni znali gde cure pa smo ipak mirno spavali.
Sta se sada promenilo? :-))

[arunachala]

Ne, ja pre verujem da je onaj drugi pozatvarao sva vrata.

Vladimire, idi proveri to sto ti je Popeye rekao, ali na masini tvog ortaka…

[arunachala]

MOGLO bi da bude ovo (zavisi koji je chipset na kartici):

IDE Port Selection – W2, W3
Short W2, Short W3 Disabled
Open W2, Short W3 Secondary IDE port (factory default)
Short W2, Open W3 Tertiary IDE port
Open W2, Open W3 Quarternary IDE port

CDROM IRQ Select – W4
Short 1-2 Secondary (factory default)
Short 3-4 Tertiary
Short 5-6 Tertiary/Quarternary
Short 7-8 Quarternary

AMP/LINE AUDIO OUTPUT – W5
Pin 1-3 and Pin 2-4 Output via Amplifier (default)
Pin 3-5 and Pin 4-6 Out via Line-Out

Za instaliranje ce ti trebati i isapnptools, a pre toga postavljanje IRQ u BIOS.
Bojim se da IDE interface na toj kartici radi dobro samo za CDROM. Mislim da ne moze da se uradi boot sa kartice.

[arunachala]

Iskreno, ja sam uglavnom govorio o ovome: http://www.netfilter.org

[arunachala]

[/etc/isdn/isdn.conf] je konfigurazioni fajl za isdnlog iz kompleta alata za ISDN: isdn4k-utils. Mozda ces ga kasnije koristiti kada ti proradi veza.

Koji je sadrzaj [/var/log/messages] fajla? (samo deo koji se tice ISDN)

Sta se dobije sa [lsmod]?

Imali nesto kao [ipppd] u listi koja se dobije sa [ps -ef]?

Ja na zalost ne koristim SUSE i eventualno mogu da ti dam odgovore koji se odnose na generalnu instalaciju ISDN kartice.
Problem sa SUSE je (sto je i tvoj problem u ovom trenutku – barem dok eventualno ne promenis distribuciju… :-)) sto ne postuje standradnu strukturu direktorijuma za linux.

[arunachala]

Zar nismo vec pricali o tome?

“Problem sa Lan-om” u Hardware forumu – postavio Puppet_Master

[arunachala]

I jos rezultat [ifconfig] i [route] na desktop masini…

Nekoliko elemenata koji moraju da budu postavljeni da bi racunar mogao da se koristi kao gateway:

– IP forwarding
– main gateway treba da bude interface koji se koristi za povezivanje na Internet
– pravilo za NAT table u iptables mora da bude postavljeno da bi prevodilo lokalne adresse u javnu adressu koja se dobija od provajdera kada se uspostavi veza.

Na notebook racunaru treba kontrolisati:
– main gateway
– DNS servere

Nekoliko stvari koje se mogu koristiti u dijagnosticke svrhe:

na desktop racunaru (dok je prikljucen na Internet):

…$ ifconfig
(dobije se lista aktivnih interface ppp0 bi trebao da bude onaj za Internet)
…$ ping -I eth0 [adresa ppp0 koja se dobila prethodnom komandom]
(ako nema odgovora kontrolisati routing table)
…$ route
(dobije se routing table kernela – ppp0 treba da bude main gateway)
…$ ping http://www.google.com
(treba da se dobije ip adressa nekog od google servera sa return time, ako nema odgovora, DNS server(i) nedostaju)

na notebook racunaru (dok je desktop prikljucen na Internet):

…$ route
(u tvom slucaju main gateway 192.168.1.1)
…$ ping [ip adresa ppp0 interface koja se dobila sa ifconfig na desktop]
(ako ne radi, nije dobro postavljena routing table na jednom od racunara)
…$ iptables -L
(kontrolisati NAT table, ako nema pravila za ip masquerade, treba ga postaviti – za to su potrebni podaci koji su trazeni na pocetku)
…$ ping [ip adresa google servera koja se dobila prethodnim pingovanjem sa desktop masine]
(ako nema odgovora kontrolisati routing table na racunarima i NAT table u iptables)
…$ ping http://www.google.com
(treba da se dobije ip adressa nekog od google servera sa return time, ako nema odgovora, DNS server(i) nedostaju)

…

[arunachala]

Zeleo bih da iznesem nekoliko pojedinosti o ovom proizvodu, a i da unapred napomenem da su primedbe cisto tehnicko/administrativne prirode, bez namere za generalnom analizom profila eventualnih korisnika.
E da, prvo da se ogradimo a posle da pricamo… 😀

Mislim da bi prvo trebalo da se pojasni struktura ovog sistema. Sam firewall je u stvari jedan frontend za iptables, znaci skup skript programa koji sadrze pravila za tabele. Iptables sa svoje strane je da, moze se reci, korisnicki interface za netfilter, utoliko sto je oblast delovanja u user space.
Znaci vec imamo tri nivoa izmedju korisnika i izvodjaca radova (kernel nisam racunao). Koji bi razlog bio da se uvodi dodatni prevodilac u ionako prilicno kompleksni posao koji povecava verovatnocu za gresku?

Sada, pretpostavimo da se radi o krajnjem korisniku, koji nema dovoljno iskustva i poznavanja sistema na raspolaganju. Naravno krajnji korisnik je obicno sinonim za kucnu upotrebu (svaki poslovni sistem koji treba da zaradjuje novac ne moze da opstane bez profesionalne podrske). Ima li kucevni covek potrebe za DNS, DHCP i VPN? Koliko to komplikuje stvari?
(samo kad pomislim koliko sam puta rizikovao kada sam zaboravljao da pritegnem recnik dok sam mami objasnjavao kako da uradi nesto na compu :-D).

Gotovo sam siguran da nijedan administrator ne bi koristio ovaj proizvod. Nekoliko razloga:

– U stvari postoje dve verzije: besplatna i comercijalna. Besplatna je u stvari obogaljena verzija komercijalnog programa.
– Besplatna verzija kao DNS odrzava samo file hosts, a ni komercijalna ne radi mnogo vise. (nije ni za ocekivati, DNS server nije jednostavan skript koji se integrise u neki paket programa)
– Isto vazi i za DHCP
– Besplatna verzija kao VPN implementaciju podrzava samo neke rudimentalne funkcije i verovatno ne treba ni uzeti u obzir neku ozbiljnu primenu. Moz’misliti, samo komercijalna versija podrzava microsftov PPTP i IPSec ;-))
– Iako je OpenSource, suvise je mali broj ljudi angazovan na razvoju programa, racunajuci i celokupnu zajednicu koja je okupljena oko projekta. Jedan projekat ovakve vrste ne moze da bude poredjen sa nekom jednostavnom aplikacijom u KDE.

Mislim da neko ko ima potrebe da odrzava jedan profesionalni sistem sve to sto nudi ovaj program vec ima na raspolaganju, a verovatno i mnogo vise.
Za kucnu upotrebu, cak iako se radi o ADSL flat prikljucku mislim da je sasvim dovoljno korektno odgovoriti na onih par pitanja koja se obicno postave na pocetku instalacije gotovo svih distribucija.

Na kraju moram da istaknem jednu pojedinost.
Postoji opcija za web content filtering (naravno samo za komercijalnu verziju) i program koji se koristi za to je izuzetno kvalitetan. To je DansGuardian i mislim da je jedan od retkih za Linux koji ima funkciju content filtering. Osim toga, iako je neka vrsta redirektora za proxy server, samostalan je program, napisan u C, OpenSource i ima mnogo siru pubbliku od SmoothWall.
Posto se razvojem i odrzavanjem bavi ista firma – SmoothWall Limited, i ovde postoje dve verzije – besplatna i komercijalna. Ali besplatna verzija je vec dovoljno kvalitetna i za profesionalnu upotrebu.
Mislim da zaista treba probati ovaj program jer je uradjen izuzetno profesionalno.

Sada napokon da iznesem moje misljenje:
SmoothWall – ne, DansGuardian – da…

[arunachala]

Posle izvesnog zakasnjenja (bio sam uvucen u jednu raspravu na ovom sajtu koju je Popeye kasnije brutalno prekinuo… ) evo jednog pitanja na tvoje pitanje:

Koja je tacno namena emulatora koji bi ti trebao?
Jel za teleprinter?? 🙂
I meni se svidja arheologija, jel mogu malkice da ucestvujem? :-))

Ne, ozbiljno, ja sam nekad koristio neke emulatore za Atmelove mikrokontrolere i mozda bi mogli da budu od koristi. A ako se radi o nekom jednostavnijem kontroleru tokova za RS232, uvek moze da se prilagodi neki skript koji se pronadje iduci po preriji.

Ako mislis da bi vredelo truda, i da je dovoljno zanimljivo, stavi neki podatak vise pa da vidimo…

[Autor]

Članci