Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.

http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/

Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

--
Sławek Lipowski
http://lipowski.org/

do góry

>
http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

maloprawdopodobne lecz mozliwe

Tylko co Ci to da? Pytanie jakie masz na routerze inne uslugi. Bo trudno
nazwac powazna firme z mysql, postgresem, www na routerze z podlaczonym
plixem/acxem

Samo obejscie wpisow w firewallu to tak naprawde poczatek zabawy a nie jej
koniec.


Icek

do góry

On 10-8-2010 19:16, Sławek Lipowski wrote:
> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

Wiesz, większość ruterów w sieci nie ma żadnych firewalli. Są jakieś
proste access-listy czasem na ssh/telnet/snmp, ale nic poza tym.
Sprawdziłem własnie adresy MAC w PLIX i nie tak dużo wygląda na pecety.

Załóżmy, że jest sobie firma krzak, która ma starego peceta z linuxem
podłączonego do węzła wymiany ruchu. Załóżmy, że tam ktoś skonfigurował
firewalla i wyciął komunikację do uruchomionych tam usług ze świata.
Żałóżmy także, że ta maszynka pobrała sobie adres v6, na którym nie ma
regułek i przepuszcza wszytko. I co? I nic. Dowiesz się, że ten pecet ma
otwarty port 22 i może 80 i to praktycznie tyle. Co zrobisz? Niewiele.

Właśnie sprawdziłem kilka przypadkowych adresów z PLIXa, niektóre mi
udostępniły ładne ssh:

Connected to 195.182.218.X
Escape character is '^]'.
SSH-2.0-OpenSSH_3.8.1p1 Debian-krb5 3.8.1p1-7sarge1

Connected to 195.182.218.Y
Escape character is '^]'.
SSH-2.0-OpenSSH_4.7

Connected to 195.182.218.Z
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1p1 Debian-5

No jest tego dużo - sprawdziłem 8 przypadkowych adresów IP i 3 z nich
podały mi ładne ssh na v4.

Fakty są takie: wielu ludzi i tak nie ma żadnych firewalli na v4, więc
włączenie się v6 nic nie zrobi. A nawet jak znajdziesz przypadek, który
opsujesz, to dostaniesz dostęp do portu 22, co niewiele da. Na świecie
jest wiele tysięcy ruterów i sporo z nich udostępnia porty 22 i 23. I
jakoś nic się nie dzieje i internet działa.

Reasumując - coś sobie wymyśliłeś, ale są to z igły widły, a tak
naprawdę, to podajesz temat pod dyskusję reklamując własną stronę, na
której jest napisane:

lipowski.org
Administrowanie sieciami komputerowymi i systemami informatycznymi.
Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.

Czyli wymyśliłeś sobie jakiś temat tylko po to, żeby zareklamować swoje
usługi. Żałosne, spamerze.

--
Grzegorz Janoszka

do góry

> Właśnie sprawdziłem kilka przypadkowych adresów z PLIXa, niektóre mi
> udostępniły ładne ssh:
>
> Connected to 195.182.218.X
> Escape character is '^]'.
> SSH-2.0-OpenSSH_3.8.1p1  Debian-krb5 3.8.1p1-7sarge1
>
> Connected to 195.182.218.Y
> Escape character is '^]'.
> SSH-2.0-OpenSSH_4.7
>
> Connected to 195.182.218.Z
> Escape character is '^]'.
> SSH-2.0-OpenSSH_5.1p1 Debian-5

abstrahując od całego spamowego wątku tego posta, chciałem
przypomnieć,
że 195.182.218/23 jest nieroutowana na świat i większość operatorów
jej
nie redystrybuuje w IGP, więc żeby zrobić to co Grzegorz, to trzeba
sklikać
fizycznie z routera wpiętego w LAN PLIXowy, lub dodać sobie to do IGP.
Wydaje mi się, że naprawdę komuś musiałoby się bardzo nudzić, żeby to
wszystko wyklikać ;-)

--S.

do góry

W dniu 10.08.2010 19:57, Icek pisze:
>>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>>
>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
>
> maloprawdopodobne lecz mozliwe
>
> Tylko co Ci to da? Pytanie jakie masz na routerze inne uslugi. Bo trudno
> nazwac powazna firme z mysql, postgresem, www na routerze z podlaczonym
> plixem/acxem

Niby tak, ale coraz częściej przekonuję się, że świat nie jest taki
idealny, jak moje wyobrażenie o nim, więc wszystko jest możliwe. :)

Ponadto już na ruterze w sieci osiedlowej to jest wielce prawdopodobne,
a takiego przypadku ten problem też przecież dotyczy.

> Samo obejscie wpisow w firewallu to tak naprawde poczatek zabawy a nie jej
> koniec.
>
>
> Icek
>

Dokładnie tak, ale zapewne nie po to się firewalla używa, żeby później
nie przejmować się tym, że jest on podatny na tego typu atak. :)

--
Sławek Lipowski

do góry

ąW dniu 10.08.2010 20:00, Grzegorz Janoszka pisze:
> On 10-8-2010 19:16, Sławek Lipowski wrote:
>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>
>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>>
>>
>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
>
> Wiesz, większość ruterów w sieci nie ma żadnych firewalli. Są jakieś
> proste access-listy czasem na ssh/telnet/snmp, ale nic poza tym.
> Sprawdziłem własnie adresy MAC w PLIX i nie tak dużo wygląda na pecety.

Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
stanowi jednak problem. Ale faktycznie, masz rację. Dla ludzi z
założenia otwierających ssh, telnet, czy snmp, podany scenariusz z ipv6
nie jest problemem. Ciężko mówić o obchodzeniu jakiegoś elementu
zabezpieczenia, którego po prostu nie ma. Jednak skoro są tacy, którzy
odfiltrowują coś na iptablesach, to zakładam, że po coś to robią i
opisana podatność ich systemów może być dla nich martwiąca.

> Załóżmy, że jest sobie firma krzak, która ma starego peceta z linuxem

Czemu zakładasz, że to musi być "stary pecet"?

Inna sprawa, że Linux i netfilter to przykład. Nie wiem np. jak zachowa
się w podobnej sytuacji jakieś BSD i pf... Pewnie jak by pogrzebać, to
znajdą się inne podatne systemy.

> podłączonego do węzła wymiany ruchu. Załóżmy, że tam ktoś skonfigurował
> firewalla i wyciął komunikację do uruchomionych tam usług ze świata.

To nie musi się wcale odbyć w ten sposób. Równie dobrze podatność może
dotyczyć małej sieci bezprzewodowej czy osiedlowej w bloku na Zadupiu
Dolnym, w której za ruter robi np. Debian, a atakującym może myć każdy
klient tej sieci. Oczywiście to już wybór Admina tej sieci, czy uzna to
za coś niebezpiecznego, czy nie, ale dobrze, żeby to była jego świadoma
decyzja, a nie stan wynikający z nieświadomości.

W pracy używam Debiana na laptopie. Mam na nim przynajmniej kilka usług
sieciowych, do których dostęp celowo odfiltrowuję. Podłączając się do
sieci LAN w jakiejś firmie nie chciałbym, żeby ktoś mimo to mógł mieć do
nich dostęp.

> Żałóżmy także, że ta maszynka pobrała sobie adres v6, na którym nie ma
> regułek i przepuszcza wszytko. I co? I nic. Dowiesz się, że ten pecet ma
> otwarty port 22 i może 80 i to praktycznie tyle. Co zrobisz? Niewiele.

To już zależy od konkretnego przypadku. Ale tak, masz rację. To nie jest
recepta na to, jak przejąc pełną kontrolę nad zdalnym hostem itp., a
jedynie opis możliwej do wykorzystania techniki obejścia elementu
istniejącego zabezpieczenia. Czasami może to być jedyny element.

> Właśnie sprawdziłem kilka przypadkowych adresów z PLIXa, niektóre mi
> udostępniły ładne ssh:
>
> Connected to 195.182.218.X
> Escape character is '^]'.
> SSH-2.0-OpenSSH_3.8.1p1 Debian-krb5 3.8.1p1-7sarge1
>
> Connected to 195.182.218.Y
> Escape character is '^]'.
> SSH-2.0-OpenSSH_4.7
>
> Connected to 195.182.218.Z
> Escape character is '^]'.
> SSH-2.0-OpenSSH_5.1p1 Debian-5
>
> No jest tego dużo - sprawdziłem 8 przypadkowych adresów IP i 3 z nich
> podały mi ładne ssh na v4.

Co ja mam powiedzieć. Ich wybór. Inna sprawa, że wcale bym się nie
zdziwił, gdyby na którymś z tych hostów na 22 porcie nie słuchał
prawdziwy demon ssh, tylko jakiś honeypot.

> Fakty są takie: wielu ludzi i tak nie ma żadnych firewalli na v4, więc
> włączenie się v6 nic nie zrobi. A nawet jak znajdziesz przypadek, który
> opsujesz, to dostaniesz dostęp do portu 22, co niewiele da. Na świecie
> jest wiele tysięcy ruterów i sporo z nich udostępnia porty 22 i 23. I
> jakoś nic się nie dzieje i internet działa.

Zapewne są ludzie, którzy przyjmują, że firewall jest im nie potrzebny.
Ich wybór. Ale jeśli ktoś jednak wycina dostęp do ssh na firewallu, to
przecież nie robi tego po to, żebyś i tak miał do tego ssh dostęp, prawda?

> Reasumując - coś sobie wymyśliłeś, ale są to z igły widły, a tak
> naprawdę, to podajesz temat pod dyskusję reklamując własną stronę, na
> której jest napisane:

W którym miejscu jest to robienie z igły wideł? Nie pisze przecież, że z
tego powodu świat się zawali.

> lipowski.org
> Administrowanie sieciami komputerowymi i systemami informatycznymi.
> Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.

To już niestety będzie OT...

Przepraszam, może faktycznie dawanie opisu adekwatnego do zawartości
strony jest bez sensu. Postaram się zmienić go w wolnej chwili na
"przesadzanie roślin doniczkowych".

> Czyli wymyśliłeś sobie jakiś temat tylko po to, żeby zareklamować swoje
> usługi. Żałosne, spamerze.
>

Polecam na spokojnie poczytać i pohamować emocje:

http://pl.wikipedia.org/wiki/Zniewaga
http://pl.wikipedia.org/wiki/Znies%C5%82awienie

Z tego co kojarzę, to chyba przebywasz poza Polską? Z tego wynika taka
niepohamowana odwaga w wyrażaniu tego typu potencjalnie karalnych osądów?

Rozumiem, że kompletnie nie dopuszczasz do siebie myśli, że są na tym
świecie ludzie, którzy piszą coś i maja satysfakcję z tego, że ktoś to
potem przeczyta? Jak już kiedyś na usenecie pisałem, zwykle jak człowiek
pisze coś dla ludzi, to przed nimi tego nie chowa, a stara się im to
zaprezentować. Zwykle też spotyka się wtedy z krytyką. Mam za sobą
epizod współpracownika jednej z poczytniejszych magazynów o grach
komputerowych, wiec uwierz mi... przywykłem. Konstruktywna krytyka jest
bardzo pozytywna, bo prowadzi zwykle do ciekawej dyskusji, ale jeśli
ktoś kwituje krytykę obelgą, to ta niestety zamyka jakąkolwiek
potencjalna dyskusję.

To, że udało mi się połączyć pasję z życiem zawodowym też jest zapewne
karygodne. Zapewniam Cię też, że na tego typu wyimaginowane akcje
promocyjne, jakie dostrzegasz w mojej wypowiedzi naprawdę szkoda czasu,
bo bynajmniej ludzi z polipa nie postrzegam jako ewentualny target mojej
działalności gospodarczej. To trochę tak, jak by starać się sprzedać
ryby rybakom...

--
Sławek Lipowski
http://lipowski.org

do góry

Sławek Lipowski <s...@l...org> writes:

> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
> stanowi jednak problem.

No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
--
Krzysztof Halasa

do góry

W dniu 10.08.2010 21:35, obeer pisze:
>
>> Właśnie sprawdziłem kilka przypadkowych adresów z PLIXa, niektóre mi
>> udostępniły ładne ssh:
>>
>> Connected to 195.182.218.X
>> Escape character is '^]'.
>> SSH-2.0-OpenSSH_3.8.1p1 Debian-krb5 3.8.1p1-7sarge1
>>
>> Connected to 195.182.218.Y
>> Escape character is '^]'.
>> SSH-2.0-OpenSSH_4.7
>>
>> Connected to 195.182.218.Z
>> Escape character is '^]'.
>> SSH-2.0-OpenSSH_5.1p1 Debian-5
>
> abstrahując od całego spamowego wątku tego posta, chciałem
> przypomnieć,

Pozwolę sobie już tego nie komentować...

> że 195.182.218/23 jest nieroutowana na świat i większość operatorów
> jej
> nie redystrybuuje w IGP, więc żeby zrobić to co Grzegorz, to trzeba
> sklikać
> fizycznie z routera wpiętego w LAN PLIXowy, lub dodać sobie to do IGP.

Nawiązując do tematu, aby rozgłosić komuś prefix IPv6 trzeba mieć z nim
styk w L2. A więc jeśli chcieć to zrobić poprzez PLIX któremuś z jego
uczestników, też trzeba by być wpiętym do PLIXa. Być może sam PLIX to
jakoś blokuje sam z siebie i bezzasadnie go tu przywołałem. Jeśli tak
jest, to proszę mnie sprostować.

Co do pozostawiania otwartego ssh w tej klasie IP, czy też olewania
ewentualnej podatności na ominięcie firewalla, to to już jest kwestia
tego, czy dany uczestnik PLIXa ufa wszystkim innym uczestnikom PLIXa.
Różne byłe wydarzenia pokazują, że niekoniecznie należy ufać. ;)

> Wydaje mi się, że naprawdę komuś musiałoby się bardzo nudzić, żeby to
> wszystko wyklikać ;-)
>
> --S.

A to przypadkiem nie jest tak, że nuda jest jednym z głównych motorów
napędowych w takich przypadkach? :)

--
Sławek Lipowski

do góry

W dniu 10.08.2010 21:58, Krzysztof Halasa pisze:
> Sławek Lipowski<s...@l...org> writes:
>
>> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
>> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
>> stanowi jednak problem.
>
> No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak

Kojarzę wypowiedź jakiegoś admina małej osiedlowej, który twierdził
uparcie, że nie ma nic złego w posiadaniu słabego hasła na roota z
możliwością zalogowania się na roota przez ssh, bo on przecież i
wpuszcza na ssh tylko ruch ze swojego ip...

Wystarczy zostawić otwarty port 22 na świat żeby przekonać się, że będą
trafiać w niego próby logowania ze świata. Z jakiegoś powodu ludzie
jednak próbują. Pojawiają się tez kolejne pytania. Czy np. takie
wystawione na świat ssh nie będzie podatne na DDoS. Czy konfiguracja ssh
pozwoli na przeprowadzenie ataku słownikowego?

> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?

Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba ten
port otworzyć od razu na cały świat, prawda? W dobie powszechnego
mobilnego dostępu do Internetu z możliwością przypisania do takiej
usługi publicznego IP to naprawdę nie wydaje się być problemem.

--
Sławek Lipowski

do góry

Sławek Lipowski <s...@l...org> writes:

>> No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
>
> Kojarzę wypowiedź jakiegoś admina małej osiedlowej, który twierdził
> uparcie, że nie ma nic złego w posiadaniu słabego hasła na roota z
> możliwością zalogowania się na roota przez ssh, bo on przecież i
> wpuszcza na ssh tylko ruch ze swojego ip...

Ale to problem tego "admina" i jego slabego hasla, i pewnie innych
podobnych problemow (bo takie lubia chodzic parami, albo w wiekszych
grupach). Sam ssh ma sie do tego nijak.

> Wystarczy zostawić otwarty port 22 na świat żeby przekonać się, że
> będą trafiać w niego próby logowania ze świata. Z jakiegoś powodu
> ludzie jednak próbują.

Jasne, nawet zupelnie czesto. No i co z tego.

> Pojawiają się tez kolejne pytania. Czy np.
> takie wystawione na świat ssh nie będzie podatne na DDoS.

Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
wysilku, i nic na to nie da sie poradzic.
IPv6 ma sie do tego nijak.

> Czy
> konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?

Udanego? :-)
Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
wszyscy uzywaja kluczy czy czegos podobnego.

>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>
> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba
> ten port otworzyć od razu na cały świat, prawda?

W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
bedzie mial IP.
Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
jest zakres adresow (w tym przypadku) neostrady.

Trzeba to po prostu miec zrobione z sensem i tyle.

> W dobie powszechnego
> mobilnego dostępu do Internetu z możliwością przypisania do takiej
> usługi publicznego IP to naprawdę nie wydaje się być problemem.

Przyznaje ze nie do konca rozumiem co tu masz na mysli.
--
Krzysztof Halasa

do góry