Fórum Root.cz
Hlavní témata => Desktop => Téma založeno: Zvarok 18. 04. 2018, 16:49:45
-
Ake su moznosti ochrany pred DNS rebinding attack na klientskom zariadeni? Vypada to, ze tento typ utoku je stale dost aktualny. Neviem ci nejako browsery tento problem riesia.
http://rebind.network/
Ja som zablokoval na windows firewalle chrome.exe pristup na vsetky privatne rozsahy. Localhost ale neni filtrovany na firewalle a tak to neviem takto zablokovat.
Ak by som potreboval pristupovat k webu, ktory by bezal na privatnom rozsahu, tak si tie pravidla docasne odblokujem. To nie je problem a ani casto nenavstevujem web na privatnych rozsahoch.
Nasiel som doplnok pre Chrome. Ma to ale len 8 userov. Neviem ci je to doveryhodne.
https://chrome.google.com/webstore/detail/anti-rebind/fdicgpiolgkgjjkapjgbehgfefeckmic
Viem, ze je mozne dns resolver nastavit tak, aby nevracal localhost a privatne adresy a chranil tak proti tomuto utoku. Mna ale zaujima ochrana v klientskom zariadeni.
-
Nespouštět na klientovy webový server, když ho tam mít spuštěný nepotřebujete. Když ho potřebujete mít spuštěný, tak si ohlídat, aby neposkytoval žádná data, která by poskytovat neměl.
-
To mi je jasne. Problem moze byt, keby nejaky software pouzival web na localhostovi a ja by som o tom nevedel a nezablokoval ho. Napriklad som nevedel, ze niektori bittorrent klienti maju rozhranie aj webove. Dozvedel som sa o tom az potom, co sa zacali sirit spravy o DNS rebindingu a Transmission klientovi.
Povazujem za dost nebezpecne, ze web browsery to nejak neblokuju a ze tam aspon nie je nejaka volba vypnutia zobrazovania localhost webov.
-
Pokud vám na počítači běží webový server, který poskytuje citlivá data, a vy o tom nevíte, máte problém i bez nějakého DNS rebinding útoku. A zákaz zobrazování webů z lokální stanice by nijak nepomohl – tak by ta data ukradl jiný prohlížeč ve stejné síti.
-
Myslis, ze ked bude nejaky web server napr. na bittorent klientovi, bude spusteny na vsetkych sietovych rozhraniach?
-
Řešíte tu velmi výjimečný případ, kdy máte nějakou klientskou aplikaci, která z nějakého důvodu poskytuje citlivá data přes HTTP server, umožňuje je číst z jiných domén (to už vypadá na záměr), vy o tom nevíte a ví o tom nějaký útočník. Nedává smysl v takovém případě spoléhat na to, že server v té klientské aplikaci bude poslouchat jenom na loopbacku.
V dotazu jste psal o firewallu, pokud používáte firewall na klientovi, měl by vás upozornit na to, že chce nějaká aplikace na nějakém portu poslouchat. Ostatně je to asi tak jediná rozumná funkce, co může firewall na klientské stanici dělat. A nebo si prostě na firewallu zablokujte naslouchání na všech portech TCP s výjimkou portů, o kterých víte, že tam nějaká aplikace má naslouchat.
-
Ak to spravne chapem, tak na ten web server moze skodlivy web zautocit a ovladnut cely moj stroj.
-
Řešíte tu velmi výjimečný případ, kdy máte nějakou klientskou aplikaci, která z nějakého důvodu poskytuje citlivá data přes HTTP server, umožňuje je číst z jiných domén (to už vypadá na záměr), vy o tom nevíte a ví o tom nějaký útočník. Nedává smysl v takovém případě spoléhat na to, že server v té klientské aplikaci bude poslouchat jenom na loopbacku.
Zmysel to mozno nedava, ale je to normalne pouzitie. Citanie "z inych domen" pri DNS rebindingu vyzera tak, ze si ten lokalny server nestrazi Host: hlavicku, inak ma vsetko osetrene. Z pohladu prehliadaca je to stale jedna domena.
Utocnik to tiez nemusi vediet. Proste pridete na stranku a tam vas caka 100 skriptov, kde kazdy skusa utocit na inu lokalnu aplikaciu. Jeden na Bittorrent klienta, dalsi na Blizzard update server a dalsi na router na 192.168.1.1.
Posluchanie na porte sa u hry caka, firewall nepomoze. Ochranu zvladal aspon ciastocne NoScript alebo pluginy na proxy, kde nastavite neexistujucu proxy na lokalne IP.
-
Diky moc za radu o tej proxyne. Uz teraz uspesne blokujem aj localhost weby.
-
Nevím přesně, jak útok funguje, ale neumí obranu proti tomu Opera ve verzi 12? Když nějaké internetové stránka obsahuje linka na localhost, případně IP localhostu, tak po kliknutí se zobrazí "meta"URL opera:crossnetworkwarning s potvrzením...
-
Řešíte tu velmi výjimečný případ ...
To je cokoliv jen ne vyjímečný případ.
https://ret2got.wordpress.com/2018/01/19/how-your-ethereum-can-be-stolen-using-dns-rebinding/
https://github.com/mopidy/mopidy/issues/1659
https://github.com/transmission/transmission/pull/468
-
Řešíte tu velmi výjimečný případ ...
To je cokoliv jen ne vyjímečný případ.
No, že by tři aplikace, z nichž jedna asi neposkytuje ani nijak citlivé údaje, byly nějaké smršť případů…
-
aneb řečeno, lidé netuší co které programy co používají dělají a jakmile to zjistí, snaží se jim v tom zabránit dalším programem a pak se cítí bezpečně.
-
Zrovna poslouchání jen na localhostu mi přijde řádově častější než kontrola hlavičky Host.
-
aneb řečeno, lidé netuší co které programy co používají dělají a jakmile to zjistí, snaží se jim v tom zabránit dalším programem a pak se cítí bezpečně.
Je uplne chore, aby mi nejaky web skenoval lokalne siete a localhosta. Je jedno, ci mi tam server bezi alebo nie.
-
Zabránit přístupu na localhost není v principu tak těžké – stačí filtrovat odpovědi z DNS. Víte, že 127.0.0.1 (a pár dalších jako 127.0.0.2, případně varianty pro IPv6) nejsou povolené odpovědi. U lokální sítě je to horší, protože někdo může legitimně chtít udělat lokální záznam. Je trochu otázka, kam to posune DNSSEC.
A navíc dělat portscan lze i jinak: https://github.com/aabeling/portscan
V případě notebooku připojovaného do nedůvěryhodných sítí lze zkoušet browser cache poisoning, i když to už má větší prerekvizity.
-
Zabránit přístupu na localhost není v principu tak těžké – stačí filtrovat odpovědi z DNS. Víte, že 127.0.0.1 (a pár dalších jako 127.0.0.2, případně varianty pro IPv6) nejsou povolené odpovědi.
To není moc dobrý nápad (rozbijete si např. DNS blacklisty/whitelisty pro mailserver (https://tools.ietf.org/html/rfc5782#page-3)).
-
To už záleží na implementaci – jestli ochrana proti DNS rebindingu funguje globálně nebo per-app a jestli ten whitelist jede stejným kanálem jako nějaké globální DNS.