eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipAtak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Ilość wypowiedzi w tym wątku: 70

  • 11. Data: 2010-08-10 20:35:35
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Marek Kierdelewicz <m...@p...pl>

    >> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
    >> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
    >> stanowi jednak problem.

    >No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
    >wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?

    Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
    bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.

    Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
    zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
    logowania). Świetna lektura do poduszki dla każdego administratora
    sieci. Niech koledzy z otwartym portem 22 na linuxach się pochwalą ile
    im przyrasta dziennie plik /var/log/messages.

    Brak aclowania/firewallingu własnej infrastruktury to
    nieodpowiedzialność.

    Jasne, rozumiem, że większość z nas ma lapka, modem 3g i telefon, który
    czasem zadzwoni. Zawsze jednak istnieją vpny i inne alternatywne
    rozwiązania na bezpieczny dostęp zdalny.

    pozdrawiam
    Marek Kierdelewicz


  • 12. Data: 2010-08-10 20:45:07
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Marek Kierdelewicz <m...@p...pl> writes:

    > Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
    > bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.

    W jakim sensie "konczy"?

    > Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
    > zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
    > logowania). Świetna lektura do poduszki dla każdego administratora
    > sieci. Niech koledzy z otwartym portem 22 na linuxach się pochwalą ile
    > im przyrasta dziennie plik /var/log/messages.

    Aha. Ale wiesz... tak w ogole, mozna to logowanie wylaczyc, jesli ktos
    nie potrzebuje. A tak normalnie, mozna po prostu przegladac automatem.
    Sa gotowe automaty dokladnie do tego celu. Od wielu lat zreszta.
    Pokazuja bardzo ladne statystyki nieudanych i udanych logowan.

    Martwisz sie botami? Zdecydowanie wiekszym zmartwieniem moze byc atak
    zdeterminowanego wlamywacza.

    > Brak aclowania/firewallingu własnej infrastruktury to
    > nieodpowiedzialność.

    To zdanie nie oznacza dokladnie nic.

    ACLki itd. maja za zadanie uniemozliwic niepozadany ruch. Problem w tym,
    ze ruch ssh moze byc pozadany.

    > Jasne, rozumiem, że większość z nas ma lapka, modem 3g i telefon, który
    > czasem zadzwoni. Zawsze jednak istnieją vpny i inne alternatywne
    > rozwiązania na bezpieczny dostęp zdalny.

    Ssh to wlasnie jest bezpieczny dostep zdalny. VPNy itd. sa mniej-wiecej
    takim samym zagrozeniem, przeciez tak samo nie uzywaja kanalu poza
    kontrola potencjalnego wlamywacza.
    --
    Krzysztof Halasa


  • 13. Data: 2010-08-10 20:48:22
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Jacek Politowski <s...@n...istnieje>

    In article <20100810223535.75fd512b@catus>
    Marek Kierdelewicz <m...@p...pl> wrote:

    > Zawsze jednak istnieją vpny i inne alternatywne
    > rozwiązania na bezpieczny dostęp zdalny.

    I czym _praktycznie_ różni się taki np. VPN od SSH?
    Poza, potencjalną, niejawnością protokołu?

    --
    Jacek Politowski


  • 14. Data: 2010-08-10 20:48:42
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Lukasz Trabinski <l...@t...nospam.net>

    Sławek Lipowski <s...@l...org> wrote:

    > Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
    > jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
    > stanowi jednak problem. Ale faktycznie, masz rację. Dla ludzi z
    > założenia otwierających ssh, telnet, czy snmp, podany scenariusz z ipv6
    > nie jest problemem.

    Muszę cię zmartwić, znakomita część routerów, która uczestniczy w
    przewalaniu poważnego ruchu w internecie ma otwarte porty 179 tcp
    i to via IPv4! Jako zadanie domowe, przeanalizuj czy port 179 powinien być
    osiągalny przez każdego. Wyniki możesz opublikować na swoim blogu.

    --
    ŁT


  • 15. Data: 2010-08-10 20:48:50
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Grzegorz Janoszka <G...@n...Janoszka.pl>

    On 10-8-2010 21:44, Sławek Lipowski wrote:
    >> lipowski.org
    >> Administrowanie sieciami komputerowymi i systemami informatycznymi.
    >> Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.
    > Przepraszam, może faktycznie dawanie opisu adekwatnego do zawartości
    > strony jest bez sensu. Postaram się zmienić go w wolnej chwili na
    > "przesadzanie roślin doniczkowych".

    Eh, gdybyś miał jaja, to byś mógł, szczerze czy nieszczerze napisać, że
    reklama, która wyszła, była niezamierzona i że przepraszasz.

    > Rozumiem, że kompletnie nie dopuszczasz do siebie myśli, że są na tym
    > świecie ludzie, którzy piszą coś i maja satysfakcję z tego, że ktoś to
    > potem przeczyta? Jak już kiedyś na usenecie pisałem, zwykle jak człowiek
    > pisze coś dla ludzi, to przed nimi tego nie chowa, a stara się im to
    > zaprezentować. Zwykle też spotyka się wtedy z krytyką. Mam za sobą
    > epizod współpracownika jednej z poczytniejszych magazynów o grach
    > komputerowych, wiec uwierz mi... przywykłem.

    No rzeczywiście, po "epizodzie współpracownika jednej (?) z
    poczytniejszych magazynów o grach..." jesteś prawdziwym ekspertem, a
    każdy, kto się odezwie jest maluczki i niedorosły. Trolujesz.

    --
    Grzegorz Janoszka


  • 16. Data: 2010-08-10 20:50:22
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Sławek Lipowski <s...@l...org>

    W dniu 10.08.2010 22:21, Krzysztof Halasa pisze:
    > (...)
    > Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita

    Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
    wielkości większymi, ale nie w tym rzecz...

    > wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
    > wysilku, i nic na to nie da sie poradzic.
    > IPv6 ma sie do tego nijak.

    Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
    domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
    może ominąć regułki netfiltera napisane wyłącznie dla IPv4. Naturalne
    wydaje się też, że bardziej podatnym na atak będzie system z otwartym
    ssh, niż ten san system bez wystawionego ssh. Zakładam też, że lepiej
    mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż jej
    nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
    przeskoczy.

    >> Czy
    >> konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?
    >
    > Udanego? :-)
    > Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
    > wszyscy uzywaja kluczy czy czegos podobnego.

    W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych haseł. :)

    >>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
    >>
    >> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba
    >> ten port otworzyć od razu na cały świat, prawda?
    >
    > W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
    > otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
    > Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
    > bedzie mial IP.
    > Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
    > zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
    > jest zakres adresow (w tym przypadku) neostrady.
    >
    > Trzeba to po prostu miec zrobione z sensem i tyle.
    >
    >> W dobie powszechnego
    >> mobilnego dostępu do Internetu z możliwością przypisania do takiej
    >> usługi publicznego IP to naprawdę nie wydaje się być problemem.
    >
    > Przyznaje ze nie do konca rozumiem co tu masz na mysli.

    Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
    publicznym IP i nosić je w kieszeni.

    --
    Sławek Lipowski


  • 17. Data: 2010-08-10 20:54:21
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: "Grzegorz Niemirowski" <g...@p...onet.pl>

    Grzegorz Janoszka <G...@n...Janoszka.pl> napisał(a):
    > Eh, gdybyś miał jaja, to byś mógł, szczerze czy nieszczerze napisać, że
    > reklama, która wyszła, była niezamierzona i że przepraszasz.

    LOL, za co? Za jedną linijkę napisaną gdzieś małym druczkiem?

    --
    Grzegorz Niemirowski
    http://www.grzegorz.net/
    OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/
    Uptime: 7 days, 9 hours, 39 minutes and 34 seconds


  • 18. Data: 2010-08-10 20:54:32
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Grzegorz Janoszka <G...@n...Janoszka.pl>

    On 10-8-2010 21:35, obeer wrote:
    > abstrahując od całego spamowego wątku tego posta, chciałem
    > przypomnieć,
    > że 195.182.218/23 jest nieroutowana na świat i większość operatorów
    > jej
    > nie redystrybuuje w IGP

    Jesteś pewien, że nie dystrybuują? Jakoś od większości operatorów
    wpiętych do PLIX tracert na adresy 195.182.218.X osiąga cel, a nie
    zdziwiłbym się, gdyby u wszystkich tak było. O ile krzak sp z.o.o z
    jednym ruterem brzegowym nie musi niczego rozgłaszać, to w PLIX są
    przecież także spore firmy, które ruterów dość trochę mają.

    Aha, Sławek przecież napisał, że to nie spam, więc przeproś go ładnie
    teraz ;)

    --
    Grzegorz Janoszka


  • 19. Data: 2010-08-10 21:03:55
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Jarek Kamiński <j...@v...eu.org>

    10.08.2010 user ksywką Sławek Lipowski nabazgrał(a) na grupę
    pl.internet.polip co następuje:
    > Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >
    > http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-firewall-ipv6/

    Mało odkrywcze i jak już inni pisali raczej rzadko użyteczne.

    Jak koniecznie chcesz ataku z autokonfiguracją IPv6, to ciekawsze wydaje
    się rozgłoszenie trasy domyślnej i udawanie cudzych DNSów (póki się
    jeszcze DNSSEC nie spopularyzował). Ma szansę się sprawdzić w przypadku
    małych sieci, które na jednej maszynie mają router i serwer DNS. Ale też
    nic odkrywczego.

    > Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
    > AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
    > np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

    Wyłączamy autokonfigurację IPv6 (i ewentualnie konfigurujemy je
    ręcznie), czyli dokładnie tak samo, jak w przypadku IPv4.

    Oczywiście RA nie musi koniecznie przychodzić od strony Internetu,
    równie dobrze może być wysłane z wewnątrz, na przykład przez klienta.

    J.


  • 20. Data: 2010-08-10 21:09:46
    Temat: [OT] Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Sławek Lipowski <s...@l...org>

    W dniu 10.08.2010 22:48, Grzegorz Janoszka pisze:
    > On 10-8-2010 21:44, Sławek Lipowski wrote:
    >>> lipowski.org
    >>> Administrowanie sieciami komputerowymi i systemami informatycznymi.
    >>> Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.
    >> Przepraszam, może faktycznie dawanie opisu adekwatnego do zawartości
    >> strony jest bez sensu. Postaram się zmienić go w wolnej chwili na
    >> "przesadzanie roślin doniczkowych".
    >
    > Eh, gdybyś miał jaja, to byś mógł, szczerze czy nieszczerze napisać, że
    > reklama, która wyszła, była niezamierzona i że przepraszasz.
    >
    >> Rozumiem, że kompletnie nie dopuszczasz do siebie myśli, że są na tym
    >> świecie ludzie, którzy piszą coś i maja satysfakcję z tego, że ktoś to
    >> potem przeczyta? Jak już kiedyś na usenecie pisałem, zwykle jak człowiek
    >> pisze coś dla ludzi, to przed nimi tego nie chowa, a stara się im to
    >> zaprezentować. Zwykle też spotyka się wtedy z krytyką. Mam za sobą
    >> epizod współpracownika jednej z poczytniejszych magazynów o grach
    >> komputerowych, wiec uwierz mi... przywykłem.
    >
    > No rzeczywiście, po "epizodzie współpracownika jednej (?) z
    > poczytniejszych magazynów o grach..." jesteś prawdziwym ekspertem, a
    > każdy, kto się odezwie jest maluczki i niedorosły. Trolujesz.
    >

    Jakoś nikt inny nie poczuł się dotknięty, urażony i nazwany "maluczkim i
    niedorosłym". Ale ok, ja nic nie wiem. Nie mam jaj i troluję... Co to ma
    do tematu? Nie bardzo wiem w jakim kierunku prowadzisz tę rozmowę. Co
    chcesz osiągnąć?

    Ale ok, jeśli ktoś odebrał post jako natrętną reklamę usług
    informatycznych, outsourcingu it, czy czegoś tam jeszcze i poczuł się
    urażony, to przepraszam, nie to było moim zamiarem.

    --
    Sławek Lipowski

strony : 1 . [ 2 ] . 3 ... 7


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: