Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Arthur 17. 09. 2012, 21:41:49
-
Ahojte,
vzhledem k aktuální situaci mi není z pohledu víceméně laika úplně jasná tato věc:
Dnes, když se vystaví nějaký server do internetu (má veřejnou IPv4 adresu), stává se téměř okamžitě terčem nějakého útoku. Proto se o něj stará profík, kdežto BFU je v klidu za NATem a skoro nic mu nehrozí.
Znamená to, že ve světě IPv6 budou stejně ohroženi všichni uživatelé všech počítačů a budou se muset o své stroje starat stejně jako dnešní serveroví admini ? To si nějak neumím představit. Ale umím si představit, že firmy a provideři z tohoto důvodu zavedou NATy i do IPv6. A nebo jsou ty útoky zaměřené spíše na serverové služby než na systém jako takový a tudíž se to uživatelů zas tolik nedotkne ?
-
NAT není ochrana. Pro opravdovou ochranu má i ten dnešní NAT router firewall. No a s IPv6 routerem to bude podobně, až na to, že tam nebude ten NAT.
-
Přesně tak, až bude IPv6, tak buď na Vás bude moct střílet každý ňouma, co se domákne adresu, nebo budete ve stejné situaci jako teď, kdy firewall stejně v defaultu dropne každé spojení, které nebylo inicializované zevnitř, takže prakticky žádná změna oproti stávající situaci.
Bohužel NAT tu fungoval jako jistá forma ochrany, kdy skrýval topologii vnitřní sítě a pokud nebyl port protunelovaný až přímo k serveru a útočník nebyl dostatečně na výši, nemohl útočit třeba přímo na server, to teď bude snazší, protože všechno bude pěkně vystavené ven.
Například Váš NAS s privátníma fotkama, na ten se půjde připojit z celého světa a když ho nenastavíte dostatečně, každej se Vám tam bude moct hrabat. Což teď bylo o poznání těží.
-
Doplním, že útok z vnější sítě na počítač za NATem (pokud nejsou protunelované porty) je poměrně složitá technika, kterou script kiddies obvykle nezvládají.
Rozdíl je cca následující:
Přímý útok na počítač s veřejnou adresou:
- pustím portscan z nějakého počítače, zjistím otevřené porty, AUTOMATICKY provedu jednoduchý port knocking na oblíbené číselné kombinace (funguje to sice zřídka, ale funguje, obvykle se blokuje SSH)
- sejmu bannery toho, co tam běží a porovnám to s těmi, které už mám
- pokud zjistím zranitelnost, můžu pokračovat
Počíták za NATem:
- musím nějak přesvědčit tu krabičku s NATem, že server chce komunikovat zrovna se mnou, což kolikrát není úplně jednoduché
- pokud se mi to povede udržet, sice se mi nepovede portscan, ale někdy se dá na určité služby dobouchat
Musím říct, že ale nejsem žádný úberhacker, možná že tu má někdo úber tool na přeskakování NATu.
Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty
Musím říct, že všechny zranitelnosti poctivě jako správný whitehat hlásím správcům těch strojů a že si nebuduju privátní zombie net.
Také mě to už nebere tolik co před pár lety.
-
Znamená to, že ve světě IPv6 budou stejně ohroženi všichni uživatelé všech počítačů a budou se muset o své stroje starat stejně jako dnešní serveroví admini ? To si nějak neumím představit.
Odhadem polovina uživatelů internetu v ČR má PC s veřejnou IP již dnes s IPv4 a nic závažného se neděje. I integrovaný firewall ve Windows je značná překážka proti útokům zvenčí. Na PC se dneska útočí jiným způsobem.
Například Váš NAS s privátníma fotkama, na ten se půjde připojit z celého světa a když ho nenastavíte dostatečně, každej se Vám tam bude moct hrabat.
Situace bude obdobná, dříve se pro privátní NAS otevíraly porty na NATu, nyní budeme pro privátní NAS zakazovat IP adresy na firewallu. Připouštím, že výchozí bezpečnost NAT bez otevřených portů byla vyšší, než výchozí nastavení firewallu kdy se může všude a hodně BFU na to dojede, než si to přenastaví.
NAT není ochrana. Pro opravdovou ochranu má i ten dnešní NAT router firewall.
NAT není firewall, ale z principu je to účinná ochrana proti příchozím připojením a to je shodou okolností nejvíce používaná funkce firewallu.
-
Náhodný útok na otevřenou IPv6 adresu je takřka nemožný. Pro každý koncový počítač musíte proscanovat rozsah /64 adres, což je 18446744073709551616 adres.
Pokud někdo zjistí vaši IPv6 adresu, ještě nemusí mít vyhráno. Jednak to nemusí být stejná adresa, na které máte otevřené služby (firewall). Za druhé, i Windowsy už mají firewall a v režimu "veřejná síť" nemají otevřený ven jediný port (vyjma portů, které explicitně povolíte). To je rozdíl od intranetového režimu, kdy otevírají ty svoje RPC porty. Tohle považuju za velice rozumný přístup od Microsoftu, který řeší dva protichůdné problémy. Firemní sítě vs veřejný internet.
I na Windows lze pro případ IPC otevírat porty bindované jen na localhost.
Na Linuxu žádné implicitní TCP porty snad nejsou, co ja vím.
-
Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty
A kolik z nich bylo na IPv6?
-
A kolik z nich bylo na IPv6?
Nula, nepoužívám IPv6, ale jakmile bude o mašině existovat záznam v DNSku, tak mi to je buřt jedno.
Bude stačit, když bude nějaké DNSko dostatečně sdílné, když se dostanu k paketům o přenosu zóny a pod.
Doménová jména se také nepoužívají náhodně generovaná, ale například FIRMAWKS046 a existují i slovníky.
Jinak s botnetem o cca 400 zombiích se dá proscanovat celkem slušný rozsah, hlavně když se nebudou scanovat všechny porty, ale jen ty obvyklé, zajímavé, na které člověk umí útočit. Ostatně k čemu Vám je to, že jste našli otevřený port s FTPčkem, když si zrovna s FTPčkem nedokážete poradit.
Dalším zdrojem jsou všelijaké logy toho, kdo kde byl.
Naštěstí hromada firem schraňuje seznamy aktivních IP adress.
Opravdu se nebojím, že by nebylo na co střílet.
Jak najít cíl v megarozsáhlé síti:
A) uděláte obrázek, třeba smajlík ::)
B) ten obrázek umístíte POMOCÍ ODKAZU NA VÁŠ SERVER na fórum, kam cíl chodí, dá se poslat i poštou
C) ve chvíli, kdy si někdo zobrazí tu stránku, máte IP cíle
Tohle jsem měl pokusně udělané na jednom fóru, když tam někdo přišel, jeho prohlížeč obrázek stáhl, IP se objevila na listu a pustil se automatický portscan. Přiznám se, že ve světě IPv4, kdy většina lidí byla za NATem, to žádné ovoce nepřineslo, jak říkám, když není na co střílet, není na co střílet. Na druhou stranu, tím, že je vyjednané spojení mezí MÝM SERVEREM A KLIENTEM, dá se hodně omezeně střílet i PŘES NAT. A stejně jsem s tím úrodu nesklidil, jak byla cíl za NATem, po nějaké době se mi už nepovedlo spojení udržet a konec. Zato někdo pěkně vystavenej, kdo vystrkuje zadekku pěkně do netu, jo, to už je větší sranda.
...chudáci BFU....potěš koště, jestli budou dostávat krbičky bez Firewallu (což u ADSL pochybuji - tam to vždy bude krabička za tisku) a o SW firewallech si myslím svoje, některé SW firewally mají tu krásnou vlastnost, že než pecko najede úplně, jsou síťové služby už přístupné, ale Firewall ještě neběží....no a ještě v lepší případě ani nedojde k terminování už existujícího spojení :P
HW firewall je od toho, aby chránil před šmejdem z venčí.
SW firewall je od toho, aby chránil před úniky šmejdu zevnitř.
-
Ach jo. Co je na tom tak složitého/magického/fascinujícího?
Když nějaká služba nemá být veřejně dostupná, nemá být veřejně dostupná - tj. nemá vůbec poslouchat na veřejně vystaveném rozhraní/adrese.
Pokud mám software, který tohle nerespektuje, neumím ho nastavit nebo chci mít systém "pásek a kšandy", mám firewall.
Pokud žádné služby ven poskytovat nechci, mám firewall zvenku zavřený.
Rozdíl situace "IPv6+zvenku_zavreny_firewall" a "IPv4+NAT" je v tom, že když za tím zařízením budou dva lidi, kteří si budou oba chtít explicitně povolit port 22, tak v první situaci si ho prostě povolí (oba), ve druhé si ho (oba) nepovolí i kdyby se rozkrájeli.
Fakt nechápu pointu těchle debat.
-
Já si myslím, že debata je vedena v tom smyslu, že drtivá většina běžných uživatelů o bezpečnosti a nastavení sítě nemá ponětí, prostě jsou to jen spotřebitelé internetu. Bude tedy záležet na tom, jak nastaví bezpečnost jejich provider. Vem si třeba nějaký větší panelák, kde je natahaná od providera strukturka, v síti se používají většinou neveřejné adresy, dál si většina uživatelů v bytě dá vlastní malý router (většinou kvůli WiFi) a zkus se na to dostat z venčí. Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost? Je to povinnost providera? Asi o tom nemá ve smlouvě ani zmínku a určitě si to nikdo z nich dobrovolně na triko nevezme. O tom je celá debata.
-
Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost? Je to povinnost providera? Asi o tom nemá ve smlouvě ani zmínku a určitě si to nikdo z nich dobrovolně na triko nevezme. O tom je celá debata.
A kdo si bere na triko, když si k UPC modemu (bridge, veřejná IP) nepřipojím router, ale jeden počítač?
Jednu dobu to UPC dokonce mělo v podmínkách, že tam může být jenom jeden.
Kde se bude starat? Nikdo. Když si koupím soustruh, tak taky nikdo nebude kontrolovat, jestli u soustružení nosím brýle - a myslím, že lidské zdraví je daleko větší hodnota, než bezpečnost našich domácich PC.
-
P.S. navrhuju založit nové téma "Kdo si vezme na triko, aby lidi neklikali na prilohu i_love_you" :)
-
Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost?
50 % uživatelů internetu v ČR nemá doma žádnou krabičku ani NAT ani firewall, prostě má UTP kabel z modemu do počítače nebo z routeru ve sklepě přímo do počítače a to už několik let a nic zvláštního se neděje.
ISP je tady od routování a směrování paketů. Bezpečnost internetu si každý účastník internetu musí řešit sám.
-
Omlouvám se :(
Samozřejmě že většina uživatelů má doma ADSL modem s aktivovaným NAT.
Nějak se mi to všechno plete.
-
Samozřejmě že většina uživatelů má doma ADSL modem s aktivovaným NAT.
Nechutné kradení nicků, patrně došly argumenty a tak si tu někdo honí ego.
Uživatelů ADSL je sice spousta ale ani náhodou to není většina, ADSL se používá jenom ze zoufalství jako poslední možnost, to ví každé malé dítě. Větší množství lidí používá jiné ISP, kde je to jak píšu modem nebo port na routeru bez jakékoliv "chytrosti".
-
A kterej z Vás je ten pravej? ::)
Mimochodem, registrace je od toho, aby ti nick nikdo nevzal, takže pokud se neregistruješ, je jasné, že ti to je jedno.
-
Mimochodem, registrace je od toho, aby ti nick nikdo nevzal, takže pokud se neregistruješ, je jasné, že ti to je jedno.
>:(
Ano, v česku je třeba vždycky počítat s nejhorší variantou, že lidi jsou tu vyčurané, zákeřené sv... .
-
Zato v USA a Rusku jsou jen hodní lidé a nic takového by se ti tam nemohlo stát.
-
Doplním, že útok z vnější sítě na počítač za NATem (pokud nejsou protunelované porty) je poměrně složitá technika, kterou script kiddies obvykle nezvládají.
Rozdíl je cca následující:
Přímý útok na počítač s veřejnou adresou:
- pustím portscan z nějakého počítače, zjistím otevřené porty, AUTOMATICKY provedu jednoduchý port knocking na oblíbené číselné kombinace (funguje to sice zřídka, ale funguje, obvykle se blokuje SSH)
- sejmu bannery toho, co tam běží a porovnám to s těmi, které už mám
- pokud zjistím zranitelnost, můžu pokračovat
Počíták za NATem:
- musím nějak přesvědčit tu krabičku s NATem, že server chce komunikovat zrovna se mnou, což kolikrát není úplně jednoduché
- pokud se mi to povede udržet, sice se mi nepovede portscan, ale někdy se dá na určité služby dobouchat
Musím říct, že ale nejsem žádný úberhacker, možná že tu má někdo úber tool na přeskakování NATu.
Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty
Musím říct, že všechny zranitelnosti poctivě jako správný whitehat hlásím správcům těch strojů a že si nebuduju privátní zombie net.
Také mě to už nebere tolik co před pár lety.
Pokud krabka pouze NATuje a neni to zaroven (alespon trochu rozumne nastaveny) firewall, je kontakt stroje uvnitr naprosto trivialni operace. IPcko ziskam jednoduse - staci kdyz mi nouma prijde na web, a prohlizec ho vykeca, pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
2Rax: Ne, NAT nechrani nic a proti nicemu.
Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost?
50 % uživatelů internetu v ČR nemá doma žádnou krabičku ani NAT ani firewall, prostě má UTP kabel z modemu do počítače nebo z routeru ve sklepě přímo do počítače a to už několik let a nic zvláštního se neděje.
ISP je tady od routování a směrování paketů. Bezpečnost internetu si každý účastník internetu musí řešit sám.
Souhlas, ale slusnej provider nabidne firewall jako sluzbu (za nejaky ty $$$).
-
pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
A jak dosahnu toho, aby takovy paket prosel internetem?
-
pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
A jak dosahnu toho, aby takovy paket prosel internetem?
GRE tunelem na vnější adresu NAT krabičky?
-
pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
A jak dosahnu toho, aby takovy paket prosel internetem?
Třeba přes Loose Source Routing. Ale je to trochu sázka do loterie, spousta routerů takové pakety blokuje
-
GRE tunel ... to by bylo hodně na stříbrném podnosu ::)
Jinak není nutné nosit dříví do lesa: http://www.root.cz/clanky/proc-neni-nat-totez-co-firewall/
-
GRE tunelem na vnější adresu NAT krabičky?
No to by ale krabička musela GRE pakety přijímat a rozumět jim, ne?
Třeba přes Loose Source Routing. Ale je to trochu sázka do loterie, spousta routerů takové pakety blokuje
Odhaduju, že počet se bude limitně blížit 100%...
-
GRE tunelem na vnější adresu NAT krabičky?
No to by ale krabička musela GRE pakety přijímat a rozumět jim, ne?
A proč by neměla? GRE se používá v PPTP a odtud je už jen malilinkatý krůček.
-
Odhaduju, že počet se bude limitně blížit 100%...
No to rozhodně ne, AFAIK to ve výchozím nastavení blokuje akorát Cisco/Linksys, velcí ISP a pár levných routerů, které nemají úplnou implementaci IPv4, takže netuší, co s takovými pakety udělat. Nakonec i Linux má ve výchozím nastavení source routing povolené.
-
Odhaduju, že počet se bude limitně blížit 100%...
No to rozhodně ne, AFAIK to ve výchozím nastavení blokuje akorát Cisco/Linksys, velcí ISP a pár levných routerů, které nemají úplnou implementaci IPv4, takže netuší, co s takovými pakety udělat. Nakonec i Linux má ve výchozím nastavení source routing povolené.
Podle mých zkušeností je source routing blokovaný skoro všude (jen to co jste napsal: Cisco/Linksys + velcí ISP + pár levných routerů, to pokrývá většinu internetu). Co se týká Linuxu, jde o to co nazýváte výchozím nastavením. Například verze od Red Hatu mají po nainstalování v /etc/sysctl.conf uvedeno "net.ipv4.conf.default.accept_source_route = 0".
-
každej border router musí invalidní source zahodit.
-
Podle mých zkušeností je source routing blokovaný skoro všude (jen to co jste napsal: Cisco/Linksys + velcí ISP + pár levných routerů, to pokrývá většinu internetu). Co se týká Linuxu, jde o to co nazýváte výchozím nastavením. Například verze od Red Hatu mají po nainstalování v /etc/sysctl.conf uvedeno "net.ipv4.conf.default.accept_source_route = 0".
Výchozí nastavení beru to, co je v kernelu. Red Hat je tedy zajímavá výjimka, protože třeba Debian a jeho odvozeniny to zapnutý mají (tu volbu v /etc/sysctl.conf mají zakomentovanou).
každej border router musí invalidní source zahodit.
To sice ano, ale se Source Routingem to nemá nic společného.
-
každej border router musí invalidní source zahodit.
Routery toho musi .... vpohode mi prochazej pakety se zdrojovou IP z privatniho rozsahu pres 1/2 republiky ... a taky by to mel kazdej router cestou zahodit ...
-
každej border router musí invalidní source zahodit.
je řečeno kde? A co je invalidní source?