Sławek Lipowski <s...@l...org> writes:

>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>
> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
> wielkości większymi, ale nie w tym rzecz...

Sam widzisz, zrobienie na tym DDoSu to pestka.

> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.

Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
moze ominac regulki IPv4.

> Naturalne
> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
> ssh, niż ten san system bez wystawionego ssh.

Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
podstawowe i wlasciwie jedyne zastosowanie)
b) wystawienie ssh jest czesto niezbedne.

> Zakładam też, że lepiej
> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
> przeskoczy.

Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.

Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
takze powinien odfiltrowac.

> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
> haseł. :)

Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.

> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
> publicznym IP i nosić je w kieszeni.

Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
nie bedzie w stanie uzyskac "mojego" IP.

BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?
--
Krzysztof Halasa

do góry

W dniu 10.08.2010 23:09, Krzysztof Halasa pisze:
> Sławek Lipowski<s...@l...org> writes:
>
>>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>>
>> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
>> wielkości większymi, ale nie w tym rzecz...
>
> Sam widzisz, zrobienie na tym DDoSu to pestka.

W sensie pestką jest zrobienie DDoSu łącza rzędu 1Gbps, czy mojego
768kbps w domu, bo się pogubiłem? :)

>> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
>> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
>> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.
>
> Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
> moze ominac regulki IPv4.

Możesz napisać dokładnie co masz na myśli? Konkretne przykłady?

>> Naturalne
>> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
>> ssh, niż ten san system bez wystawionego ssh.
>
> Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
> a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
> podstawowe i wlasciwie jedyne zastosowanie)
> b) wystawienie ssh jest czesto niezbedne.

Jak by nie było, to przecież temat nie tyczy się samego ssh i teza
zakładająca, że nie trzeba się przejmować możliwością ominięcia
firewalla, bo ssh jest bezpieczne jest co najmniej lekko nietrafiona. :)

>> Zakładam też, że lepiej
>> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
>> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
>> przeskoczy.
>
> Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
> filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.

Dokładnie tak. Chociaż z tym jasne i oczywiste to bym nie dramatyzował,
bo tak to chyba tylko w idealnym świecie. :)

> Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
> takze powinien odfiltrowac.

Zgadza się. A wcześniej musi mieć świadomość, że powinien to zrobić.

>> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
>> haseł. :)
>
> Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.
>
>> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
>> publicznym IP i nosić je w kieszeni.
>
> Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
> nie bedzie w stanie uzyskac "mojego" IP.

Jedno drugiego nie wyklucza. I jedno i drugie można potraktować jako
kolejna warstwę zwiększającą bezpieczeństwo.

> BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?

Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
operatora komórkowego niż otwarte darmowe wifi.

--
Sławek Lipowski

do góry

W dniu 2010-08-10 22:35, Marek Kierdelewicz pisze:
>>> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
>>> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
>>> stanowi jednak problem.
>
>> No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>
> Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
> bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.
>
> Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
> zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
> logowania). Świetna lektura do poduszki dla każdego administratora
> sieci. Niech koledzy z otwartym portem 22 na linuxach się pochwalą ile
> im przyrasta dziennie plik /var/log/messages.
Zawsze możesz zarzucić sshguarda. Mi sprawuje się znakomicie dodatkowo wycina
następnie skan wewnątrz sieci (wyłapany skanujący, leci w regułkę blokującą do
sieci wewnętrznej).

--
[WRC] Biały Scenic 2000 1,9 dTI
CB: Intek M-490 ML 145

+-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
| _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry

W dniu 10.08.2010 23:03, Jarek Kamiński pisze:
> 10.08.2010 user ksywką Sławek Lipowski nabazgrał(a) na grupę
> pl.internet.polip co następuje:
>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>
>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>
> Mało odkrywcze i jak już inni pisali raczej rzadko użyteczne.

Zdaję sobie sprawę, że ameryki nie odkryłem. :)

> Jak koniecznie chcesz ataku z autokonfiguracją IPv6, to ciekawsze wydaje
> się rozgłoszenie trasy domyślnej i udawanie cudzych DNSów (póki się
> jeszcze DNSSEC nie spopularyzował). Ma szansę się sprawdzić w przypadku
> małych sieci, które na jednej maszynie mają router i serwer DNS. Ale też
> nic odkrywczego.
> (...)
>
> J.

Ale tez ciekawe. Kolejny temat do przemyślenia.

--
Sławek Lipowski

do góry

W dniu 10.08.2010 22:48, Lukasz Trabinski pisze:
> Sławek Lipowski<s...@l...org> wrote:
>
>> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
>> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
>> stanowi jednak problem. Ale faktycznie, masz rację. Dla ludzi z
>> założenia otwierających ssh, telnet, czy snmp, podany scenariusz z ipv6
>> nie jest problemem.
>
> Muszę cię zmartwić, znakomita część routerów, która uczestniczy w
> przewalaniu poważnego ruchu w internecie ma otwarte porty 179 tcp
> i to via IPv4! Jako zadanie domowe, przeanalizuj czy port 179 powinien być
> osiągalny przez każdego. Wyniki możesz opublikować na swoim blogu.
>

Możesz rozwinąć temat? Przez osiągalny rozumiesz, że da się nawiązać
połączenie TCP z demonem BGP? Nie do końca chyba rozumiem, co dokładnie
masz na myśli...

--
Sławek Lipowski

do góry

W dniu 2010-08-10 19:16, Sławek Lipowski pisze:
> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i AC-X?
> Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze np. od TP,
> Netii, ATMANa, czy dowolnego innego operatora?
>
Tak BTW ktoś miły w PL-IX'ie "udostępnia" IPv6, a AFAIR w umowie jest to zabronione.

[spliter]:~$traceroute6 ftp.ac.pld-linux.org
traceroute to ftp.agmk.pld-linux.org (2001:6a0:159::120) from
2001:7f8:42:0:21b:21ff:fe06:311d, 30 hops max, 16 byte packets
1 2001:7f8:42:0:223:7dff:fefb:8165 (2001:7f8:42:0:223:7dff:fefb:8165) 34.52
ms 13.529 ms 14.724 ms
2 icm.link1.rs1.ipv6.plix.pl (2001:7f8:42::a500:8664:1) 17.278 ms 17.151 ms
28.58 ms
3 2001:6a0:1:1::2 (2001:6a0:1:1::2) 14.509 ms 14.673 ms 15.398 ms
4 cl-36.waw-01.pl.sixxs.net (2001:6a0:200:23::2) 17.51 ms 17.364 ms 15.696 ms
5 2001:6a0:159::120 (2001:6a0:159::120) 19.691 ms 18.443 ms 17.43 ms


--
[WRC] Biały Scenic 2000 1,9 dTI
CB: Intek M-490 ML 145

+-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
| _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry

Sławek Lipowski <s...@l...org> wrote:

> Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
> kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
> operatora komórkowego niż otwarte darmowe wifi.

Czym miałoby się różnić połączenie z własnego laptopa via darmowe wifi lub
operatora komórkowego via ssh?
Zanim odpowiesz, przeczytaj:
http://www.tombom.co.uk/blog/?p=262
https://www.defcon.org/html/defcon-18/dc-18-speakers
.html#Paget

--
ŁT

do góry

Sławek Lipowski <s...@l...org> wrote:


> Możesz rozwinąć temat? Przez osiągalny rozumiesz, że da się nawiązać
> połączenie TCP z demonem BGP? Nie do końca chyba rozumiem, co dokładnie
> masz na myśli...

Myśłałem, że się domyslisz... Napisałeś, cytuję:

"Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może jestem
przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh stanowi jednak
problem "

No to ja się pytam, czy otwarty port 179 nie stanowi dla ciebie problemu?


--
ŁT

do góry

On 10 Sie, 19:16, Sławek Lipowski <s...@l...org> wrote:
> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewa...
pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
"obejscie" firewalla

>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
w samym plix nie dostaniemy całego internetu wiec i tak potrzebna jest
jakas inna sesja,
nie rozumiem tez jak to inne lacze mialo by nas zabezpieczyc przed
nieskonfigurowanym firewallem ipv6,
chyba ze mialo by to polegac na zrezygnowaniu z plixa ;)

przy ipv4 tych otwartych na swiat (przynajmniej u operatorow
uczestnikow te adresy sa rouowalne) jest rzeczywisc dosc duzo,
przy sprzetowych rozwiazaniach moze to chyba ulatwic/umozliwic atak
dos na routing engine, a przy jakims linuxie czy bsd wiele nie
uzyskamy

oczywiscie w idealnym internecie nie powinno byc wszystko ladnie
poblokowane, ale moim zdaniem nie ma sensu
pisac tu o jakims powaznym problemie w postaci dosc bezpiecznej usługi
udostepnianej na routerach

jesli juz ktos ma dostep do L2 jakiegos punktu wymiany ruchu to jest
duzo ciekawszych rzeczy ktore mozna zrobic by zatruc komus zycie
np. wysylajac znacznych ruch do tpsy na czyis router ze swoich lub by
bylo smieszniej cudzych adresow, szansa na to ze to trafi na lacze do
tpsa ofiary jest
moim zdaniem wyzsza niz to ze zgadniemy haslo na czyis router (w
praktyce testowalismy to jakis czas temu przy rozgloszeniu tpsa w
plix),
w sumie jak by to z umiarem robic to mozna by sobie dodatkowy backup
przez innych uczestnikow punktow wymiany ruchu robic albo i glowne
lacze do tpsa i innych drogich kierunków jesli chcemy zrobic promocje
na transfer dla naszych klientow ;P , to niestety tez nie jest nic
nowego bo tez o tym gdzies czytalem tyle ze niedawno, ciekawe czy ktos
cos takiego juz przecwiczył

co do unikania przez blokowanie calego ipv6 to nie zgodze sie z tym ze
to dobre rozwiazanie bo wiele uslug lokalnie moze uzywac wersji ipv6
adresow
i moze przestac dzialac np. lokalny resolver czy inne uslugi w
wersjach v4 i v6 (pisali o tym w redhatowej bugzilli w 2004 roku)

uwazam tez ze nie powinienes sie obrazac jesli ktos ciebie posadzi o
spamerstwo, wiadomo promowac sie jakos trzeba, ale nie jest to
zagadnienie ani nowe, ani szczegolnie niebezpieczne i nie ma sie co
dziwic ze sie niektórym nie podoba robienie z tego jakiegos odkrycia i
widza w tym chytry plan

--
Lazy

do góry

W dniu 10.08.2010 23:58, Lukasz Trabinski pisze:
> Sławek Lipowski<s...@l...org> wrote:
>
>> Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
>> kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
>> operatora komórkowego niż otwarte darmowe wifi.
>
> Czym miałoby się różnić połączenie z własnego laptopa via darmowe wifi lub
> operatora komórkowego via ssh?
> Zanim odpowiesz, przeczytaj:
> http://www.tombom.co.uk/blog/?p=262
> https://www.defcon.org/html/defcon-18/dc-18-speakers
.html#Paget
>

Do niezabezpieczonej sieci wifi, bez żadnego nakładu sił, środków i
trudu, może podłączyć się dowolna osoba. A jak się podłączy, to może
rozgłosić nieświadomym jej użytkownikom prefix IPv6. ;)

--
Sławek Lipowski

do góry