» »

"Port scan" stanje na IPv4 omrežju

"Port scan" stanje na IPv4 omrežju

1
2
»

tony1 ::

SeMiNeSanja je izjavil:

tony1 je izjavil:

Ker pa ne bi rad, da se tukaj začne sveta vojna: vsi moji Fwji so hardverski. :))

V principu imaš vključen tudi IPS, ki bi tudi smel otežiti 'preskakovanje', če nisi izumil neko čisto novo varianto.
Tiste 'ta stare' variante pa mislim da so vse pokrpane...?


Tokrat si bil malo preveč kratek... :| Torej opozarjaš, da so CPU/BIOS/drivers/Minix luknje [v VM firewallih] gotovo vse pokrpane, in ti vektorji napada odpadejo, in bi za uspešen napad [na VM firewall] heker moral najti 0-day exploit?

Hja, niti ne. Minix je še kar v Intlovih CPUjih in bo tam še vsaj 5 let (če ne za vedno?). Z nekaj sreče za znane CPU luknje poskrbijo OS patchi. BIOSa in driverjev pa glede na moje izkušnje na serverjih, ki lavfajo VM za firewall nihče ne updejta. Vedno sem dobil odgovor: "nimamo več podpore za server in nimamo kje dobiti BIOSA in driverjev" / "z updejtanjem BIOSa je preveč dela" / "to nas ne skrbi, ker za varnost skrbimo na nivoju VMja" (komentar: :8)).

Aja, še enega sem pozabil: izjemno pogosto se dogaja, da ljudje ne upgrejdajo Hypervisorjev... Esxi 4.x in Windows server 2008 so prepogost pojav...

SeMiNeSanja ::

Tisti ki ne posodablja ne hypervizor, ne operacijski sistem se tudi ne bo sekiral zaradi hipotetične možnosti 'preskakovanja'.

Tisti, ki ga resno skrbi, pa mislim da je posodobil kar se je posodobiti dalo.

Veliko je bilo govora o teoretični možnosti....ne vem pa, če se je sploh kdaj pojavil kakšen exploit 'in the wild'.
Mislim, da je vse skupaj bilo na nivoju raziskovalne/akademske sfere, tako da se je kar nekaj stvari 'pokrpalo' na strani operacijskih sistemov, še predenj je kdo stuhtal kakšno praktično varianto exploita.
Se pa lahko tudi motim, ampak mislim, da bi bila res huda štala, če bi naokrog krožila uporabna exploit koda.

Kot rečeno, pa govoriš o 'napadu' in če ta prihaja od zunaj, mora nekdo preko firewall-a kot vstopne točke poslati določen promet do nekega ranljivega naslova. Torej bi v tem primeru potencialno lahko že IPS zaznal vzorec problematičnega prometa in povezavo prekinil še predenj bi lahko naredil kakšno škodo.

Pa tudi če si zamisliš, da boš nekaj injiciral...verjetno bo na koncu cilj, da boš nekje lahko odprl remote shell. Če striktno filtriraš promet v obe smeri, bi načeloma moral zaznati tak remote shell. Da bi pa injiciral neko kodo, da bi potem lahko upravljal požarno pregrado... no, ko bo tak exploit znan, me obvesti....

Veliko exploitov je 'teoretično izvedljivih', vendar za praktično zlorabo potrebujejo celo vrsto izpolnjenih dodatnih pogojev. Prav je, da vemo, da teoretično se moramo bati tega in onega in se temu potem skušamo izogibati. Istočasno pa ta teoretična spoznanja poskrbijo tudi za učvrstitev / krpanje sistemov.

Kolikokrat je bil že rompompom glede nekega exploita...potem si se pa malo poglobil, pa je izpadlo, da moraš biti prijavljen v sistem, da ga lahko izvedeš. Super....kot rečejo:"If an attacker got that far, than you have a far larger problem than exploit xy"
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Saul Goodman ::

malo sem te podražil, no. :) sem vedu, da si lahko obetam vsaj pol a4 odgovor, pa sem hotu zvedt mal več informacij. se pa strinjam s tabo, tak model tudi meni ne sede. :P po drugi strani se virtual appliance danes tlači povsod, kjer ni nujno, da je hw. in zadeve špilajo v redu.

AštiriL ::

HotBurek je izjavil:

Jaz uporabljam fail2ban, torej, da po 3 napačnih poizkusih gesla na dan zapovrstjo, blokira temu ipv4/32 naslovu vse povezave na strežnik z iptables za en dan.

Kaj pa, če iščejo veljavna uporabniška imena? Primer:

Oct 6 20:12:39 host sshd[2767]: Invalid user naadmin from 193.105.134.95 port 8663
Oct 6 20:12:42 host sshd[2767]: pam_unix(sshd:auth): check pass; user unknown
Oct 6 20:12:42 host sshd[2767]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.105.134.95
Oct 6 20:12:44 host sshd[2767]: Failed password for invalid user naadmin from 193.105.134.95 port 8663 ssh2
Oct 6 20:12:46 host sshd[2767]: Disconnecting invalid user naadmin 193.105.134.95 port 8663: Change of username or service not allowed: (naadmin,ssh-connection) -> (dvs,ssh-connection) [preauth]

Ti naredijo po 100 poizkusov, rotirajo pa username. Gre to v Fail2ban tudi rešit?


Ne, seveda ne blokiram dostopa uporabniku (v tem primeru naadmin), ampak IP naslovu. Uporabnik naadmin se še vedno lahko prijavi iz kateregakoli naslova, le-ta naslov, ki pa je bil "izrabljen", pa ne bo delal za nobeno storitev več (dobi DROP rule v iptables). Ta iptables pravila imam začasna, ob rebootu se izbrišejo, ker pa ne rebootam prav pogosto, se dostop blokira za samo en dan. To vse hendla fail2ban.
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

HotBurek ::

Ja, sej to me zanima; kje in kako blokiraš takšen IP v jail.local configu?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

AštiriL ::

[DEFAULT]

# "ignoreip" IP naslov, a CIDR maska podomrezja ali DNS host. Fail2ban ne
# bo blokiral teh hostov. S presledkom locimo vec gostiteljev.
ignoreip = 127.0.0.1 k.a4l.space 93.103.235.126 t.a4l.space d.a4l.space
# tukaj napises svoj racunalnik, telefon, leptop (ce imas gor kaksen DDNS softver) in njegovo domeno (vsaj tako imam jaz, ce se zatipkam)
# dodam tudi sam host (172.0.0.1 in 93.103.235.126), da se ne bi pomotoma blokiral.
# "bantime" stevilo sekund blokade
bantime  = 86400 # en dan

# host je blokiran ko doseze "maxretry" poskusov v "findtime"
# sekundnem casovnem oknu
findtime  = 3600

# "maxretry" stevilo fejlov.
maxretry = 3

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
##           sendmail-whois[name=SSH, dest=uporabnikkidobimejl, sender=fail2ban@a4l.space] ## ce imas zeljo po dobivanju nesteto e-mailov lahko tole obkljukas (melje dobivas lokalno, ko se loginas ti napise You have mail, ali pa, ce imas odjemalca (roundcube), dobis mejl na userja)
logpath  = /var/log/secure
maxretry = 5


malo poguglaj in takoj najdes. zgornji primer blokira SSH port temu IP-ju, torej lahko se vedno brska po spletni strani, mejlu, ...
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

KODI na PC - težava

Oddelek: Pomoč in nasveti
5514 (266) refosk
»

Škoda zaradi internetnih prevar raste

Oddelek: Novice / Varnost
295461 (2972) JN
»

Nginx log - razlaga zapisa

Oddelek: Izdelava spletišč
6496 (215) dunda
»

Fake traffic generator

Oddelek: Omrežja in internet
191514 (710) HotBurek
»

Reinštalacija sistema

Oddelek: Pomoč in nasveti
111323 (1035) scipascapa

Več podobnih tem