>> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
>> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
>> stanowi jednak problem.

>No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
>wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?

Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.

Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
logowania). Świetna lektura do poduszki dla każdego administratora
sieci. Niech koledzy z otwartym portem 22 na linuxach się pochwalą ile
im przyrasta dziennie plik /var/log/messages.

Brak aclowania/firewallingu własnej infrastruktury to
nieodpowiedzialność.

Jasne, rozumiem, że większość z nas ma lapka, modem 3g i telefon, który
czasem zadzwoni. Zawsze jednak istnieją vpny i inne alternatywne
rozwiązania na bezpieczny dostęp zdalny.

pozdrawiam
Marek Kierdelewicz

do góry

Marek Kierdelewicz <m...@p...pl> writes:

> Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
> bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.

W jakim sensie "konczy"?

> Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
> zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
> logowania). Świetna lektura do poduszki dla każdego administratora
> sieci. Niech koledzy z otwartym portem 22 na linuxach się pochwalą ile
> im przyrasta dziennie plik /var/log/messages.

Aha. Ale wiesz... tak w ogole, mozna to logowanie wylaczyc, jesli ktos
nie potrzebuje. A tak normalnie, mozna po prostu przegladac automatem.
Sa gotowe automaty dokladnie do tego celu. Od wielu lat zreszta.
Pokazuja bardzo ladne statystyki nieudanych i udanych logowan.

Martwisz sie botami? Zdecydowanie wiekszym zmartwieniem moze byc atak
zdeterminowanego wlamywacza.

> Brak aclowania/firewallingu własnej infrastruktury to
> nieodpowiedzialność.

To zdanie nie oznacza dokladnie nic.

ACLki itd. maja za zadanie uniemozliwic niepozadany ruch. Problem w tym,
ze ruch ssh moze byc pozadany.

> Jasne, rozumiem, że większość z nas ma lapka, modem 3g i telefon, który
> czasem zadzwoni. Zawsze jednak istnieją vpny i inne alternatywne
> rozwiązania na bezpieczny dostęp zdalny.

Ssh to wlasnie jest bezpieczny dostep zdalny. VPNy itd. sa mniej-wiecej
takim samym zagrozeniem, przeciez tak samo nie uzywaja kanalu poza
kontrola potencjalnego wlamywacza.
--
Krzysztof Halasa

do góry

In article <20100810223535.75fd512b@catus>
Marek Kierdelewicz <m...@p...pl> wrote:

> Zawsze jednak istnieją vpny i inne alternatywne
> rozwiązania na bezpieczny dostęp zdalny.

I czym _praktycznie_ różni się taki np. VPN od SSH?
Poza, potencjalną, niejawnością protokołu?

--
Jacek Politowski

do góry

Sławek Lipowski <s...@l...org> wrote:

> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
> stanowi jednak problem. Ale faktycznie, masz rację. Dla ludzi z
> założenia otwierających ssh, telnet, czy snmp, podany scenariusz z ipv6
> nie jest problemem.

Muszę cię zmartwić, znakomita część routerów, która uczestniczy w
przewalaniu poważnego ruchu w internecie ma otwarte porty 179 tcp
i to via IPv4! Jako zadanie domowe, przeanalizuj czy port 179 powinien być
osiągalny przez każdego. Wyniki możesz opublikować na swoim blogu.

--
ŁT

do góry

On 10-8-2010 21:44, Sławek Lipowski wrote:
>> lipowski.org
>> Administrowanie sieciami komputerowymi i systemami informatycznymi.
>> Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.
> Przepraszam, może faktycznie dawanie opisu adekwatnego do zawartości
> strony jest bez sensu. Postaram się zmienić go w wolnej chwili na
> "przesadzanie roślin doniczkowych".

Eh, gdybyś miał jaja, to byś mógł, szczerze czy nieszczerze napisać, że
reklama, która wyszła, była niezamierzona i że przepraszasz.

> Rozumiem, że kompletnie nie dopuszczasz do siebie myśli, że są na tym
> świecie ludzie, którzy piszą coś i maja satysfakcję z tego, że ktoś to
> potem przeczyta? Jak już kiedyś na usenecie pisałem, zwykle jak człowiek
> pisze coś dla ludzi, to przed nimi tego nie chowa, a stara się im to
> zaprezentować. Zwykle też spotyka się wtedy z krytyką. Mam za sobą
> epizod współpracownika jednej z poczytniejszych magazynów o grach
> komputerowych, wiec uwierz mi... przywykłem.

No rzeczywiście, po "epizodzie współpracownika jednej (?) z
poczytniejszych magazynów o grach..." jesteś prawdziwym ekspertem, a
każdy, kto się odezwie jest maluczki i niedorosły. Trolujesz.

--
Grzegorz Janoszka

do góry

W dniu 10.08.2010 22:21, Krzysztof Halasa pisze:
> (...)
> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita

Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
wielkości większymi, ale nie w tym rzecz...

> wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
> wysilku, i nic na to nie da sie poradzic.
> IPv6 ma sie do tego nijak.

Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
może ominąć regułki netfiltera napisane wyłącznie dla IPv4. Naturalne
wydaje się też, że bardziej podatnym na atak będzie system z otwartym
ssh, niż ten san system bez wystawionego ssh. Zakładam też, że lepiej
mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż jej
nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
przeskoczy.

>> Czy
>> konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?
>
> Udanego? :-)
> Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
> wszyscy uzywaja kluczy czy czegos podobnego.

W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych haseł. :)

>>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>>
>> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba
>> ten port otworzyć od razu na cały świat, prawda?
>
> W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
> otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
> Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
> bedzie mial IP.
> Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
> zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
> jest zakres adresow (w tym przypadku) neostrady.
>
> Trzeba to po prostu miec zrobione z sensem i tyle.
>
>> W dobie powszechnego
>> mobilnego dostępu do Internetu z możliwością przypisania do takiej
>> usługi publicznego IP to naprawdę nie wydaje się być problemem.
>
> Przyznaje ze nie do konca rozumiem co tu masz na mysli.

Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
publicznym IP i nosić je w kieszeni.

--
Sławek Lipowski

do góry

Grzegorz Janoszka <G...@n...Janoszka.pl> napisał(a):
> Eh, gdybyś miał jaja, to byś mógł, szczerze czy nieszczerze napisać, że
> reklama, która wyszła, była niezamierzona i że przepraszasz.

LOL, za co? Za jedną linijkę napisaną gdzieś małym druczkiem?

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/
Uptime: 7 days, 9 hours, 39 minutes and 34 seconds

do góry

On 10-8-2010 21:35, obeer wrote:
> abstrahując od całego spamowego wątku tego posta, chciałem
> przypomnieć,
> że 195.182.218/23 jest nieroutowana na świat i większość operatorów
> jej
> nie redystrybuuje w IGP

Jesteś pewien, że nie dystrybuują? Jakoś od większości operatorów
wpiętych do PLIX tracert na adresy 195.182.218.X osiąga cel, a nie
zdziwiłbym się, gdyby u wszystkich tak było. O ile krzak sp z.o.o z
jednym ruterem brzegowym nie musi niczego rozgłaszać, to w PLIX są
przecież także spore firmy, które ruterów dość trochę mają.

Aha, Sławek przecież napisał, że to nie spam, więc przeproś go ładnie
teraz ;)

--
Grzegorz Janoszka

do góry

10.08.2010 user ksywką Sławek Lipowski nabazgrał(a) na grupę
pl.internet.polip co następuje:
> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/

Mało odkrywcze i jak już inni pisali raczej rzadko użyteczne.

Jak koniecznie chcesz ataku z autokonfiguracją IPv6, to ciekawsze wydaje
się rozgłoszenie trasy domyślnej i udawanie cudzych DNSów (póki się
jeszcze DNSSEC nie spopularyzował). Ma szansę się sprawdzić w przypadku
małych sieci, które na jednej maszynie mają router i serwer DNS. Ale też
nic odkrywczego.

> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

Wyłączamy autokonfigurację IPv6 (i ewentualnie konfigurujemy je
ręcznie), czyli dokładnie tak samo, jak w przypadku IPv4.

Oczywiście RA nie musi koniecznie przychodzić od strony Internetu,
równie dobrze może być wysłane z wewnątrz, na przykład przez klienta.

J.

do góry

W dniu 10.08.2010 22:48, Grzegorz Janoszka pisze:
> On 10-8-2010 21:44, Sławek Lipowski wrote:
>>> lipowski.org
>>> Administrowanie sieciami komputerowymi i systemami informatycznymi.
>>> Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.
>> Przepraszam, może faktycznie dawanie opisu adekwatnego do zawartości
>> strony jest bez sensu. Postaram się zmienić go w wolnej chwili na
>> "przesadzanie roślin doniczkowych".
>
> Eh, gdybyś miał jaja, to byś mógł, szczerze czy nieszczerze napisać, że
> reklama, która wyszła, była niezamierzona i że przepraszasz.
>
>> Rozumiem, że kompletnie nie dopuszczasz do siebie myśli, że są na tym
>> świecie ludzie, którzy piszą coś i maja satysfakcję z tego, że ktoś to
>> potem przeczyta? Jak już kiedyś na usenecie pisałem, zwykle jak człowiek
>> pisze coś dla ludzi, to przed nimi tego nie chowa, a stara się im to
>> zaprezentować. Zwykle też spotyka się wtedy z krytyką. Mam za sobą
>> epizod współpracownika jednej z poczytniejszych magazynów o grach
>> komputerowych, wiec uwierz mi... przywykłem.
>
> No rzeczywiście, po "epizodzie współpracownika jednej (?) z
> poczytniejszych magazynów o grach..." jesteś prawdziwym ekspertem, a
> każdy, kto się odezwie jest maluczki i niedorosły. Trolujesz.
>

Jakoś nikt inny nie poczuł się dotknięty, urażony i nazwany "maluczkim i
niedorosłym". Ale ok, ja nic nie wiem. Nie mam jaj i troluję... Co to ma
do tematu? Nie bardzo wiem w jakim kierunku prowadzisz tę rozmowę. Co
chcesz osiągnąć?

Ale ok, jeśli ktoś odebrał post jako natrętną reklamę usług
informatycznych, outsourcingu it, czy czegoś tam jeszcze i poczuł się
urażony, to przepraszam, nie to było moim zamiarem.

--
Sławek Lipowski

do góry