Příspěvky

2056

Software / Re:Firefox - Problém s proxy (možná cache)

« kdy: 24. 01. 2020, 07:59:49 »

Prohlížeč běžně používá opakovaně spojení k jednomu serveru, protože navázání spojení je relativně drahá operace (zejména s HTTPS). Nevím, jakým způsobem přepínáte ve Firofoxu profily proxy, ale je možné, že tím nedojde k ukončení již navázaných spojení. Dalo by se to odsledovat např. pomocí tcpdumpu nebo WireSharku.

2057

Studium a uplatnění / Re:Nápad na bakalářskou práci se Spring

« kdy: 22. 01. 2020, 08:14:08 »

Prima, gratuluju a díky.

2058

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 21. 01. 2020, 00:03:40 »

Děkuji za odpovědi, už jsem to pochopil i z první odpovědi že samotný nat je pravidlo 1

Ano.

zbytek je politka povolení/zakázní trafficu

Ano.

forward pravidla hrají roli jen když je defaultní chování Blokovat traffic.

Ne tak docela. Pravidla se procházejí jedno po druhém, když nějaké vyhoví, provede se nastavený cíl a zpracování skončí. Když nevyhoví žádné pravidlo, použije se výchozí chování řetězce. Můžete mít tedy třeba pravidla 1. povol vše z mé IP adresy, 2. zakaž vše příchozí na port 22, výchozí pravidlo je akceptuj. Výchozí chování tedy je akceptace provozu, přesto jste provoz na port 22 z jiných IP adres než z vaší zakázal.

A že vlastně pravidlo s conn_track(#2#)  je závislé na #3#, samotné pravidlo #2# by nedávalo smysl, neboť bez odchozího trafficu by žádné otevření spojení nevzniklo.

Ano, je to typické nastavení firewallu. Řeknete, že všechny pakety, které souvisí s něčím, co už jste zkoumal, se mají propustit. Tohle pravidlo se nikdy nepoužije hned na začátku komunikace, logické by bylo dávat ho až na konec, ale dává se na první místo, protože mu vyhoví největší počet paketů a už se pak nemusí procházet další pravidla. A teprve za tohle pravidlo dáváte další pravidla, která se aplikují jen na pakety, které navazují spojení. A vycházíte z toho, že když neprojde paket navazující spojení, nemohou přijít ani žádné pakety, které s tím spojením souvisí.

Nedočká se z důvodu rp_filter, která je standardně(nebo to tak někdo předpokládá) zapnutá?

Motají se tu dohromady tři věci. Každá z nich může ovlivnit, zda nějaký paket projde a v jaké podobě, ale každé je to něco jiného. NAT jenom překládá adresy. Jako když vám do firmy bude chodit pošta pro slečnu Novákovou, ale na podatelně budou vědět, že se vdala a přepíšou to na obálce na paní Zemanovou. A když si zlý útočník venku zjistí, že se vdala a pošle dopis rovnou paní Zemanové, na podatelně s tím nic dělat nebudou a normálně to pošlou dál. Druhá věc je firewall, ten podle zadaných pravidel blokuje nějaké pakety. Např. že panu řediteli smí posílat dopisy jen pan majitel a nikdo jiný, a údržbář smí posílat dopisy jenom do železářství a do truhlárny a nikam jinam. Třetí je RP filtr, který kontroluje to, že když dopisy do Brna posíláte autem po D1 a dopisy do Plzně autem po D5, tak zase dopisy z Brna musí přijet autem po D1 a dopisy z Plzně autem po D5. A pokud autem po D5 přijede dopis, na kterém je napsáno, že je z Brna, tak ho zahodíte, protože tudy neměl přijet a je něco špatně. To samé se dá nastavit i na firewallu, ale RP filtr je mnohem jednodušší a můžete ho použít i tehdy, když žádný firewall nepoužíváte.

2059

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 23:47:24 »

Na natu ji lze taky částečně suplovat - nejen v kombinaci s rp_filter, ale třeba při překladu dovnitř, kdy se specifikují jen otevřené porty.

Ne, nemůžete dávat do jednoho textu „pro začátečníky“, „pro jednoduchost“ a „NAT supluje bezpečnost“. Pro začátečníky a pro jednoduchost můžete napsat nanejvýš to, že NAT nezajišťuje vůbec žádné zabezpečení. To, že když víte, co děláte, můžete NATem útočníkovi trochu komplikovat život, začátečníkovi vůbec říkat nemáte, protože ho tím nanejvýš zmatete.

Trochu jinak. Filip psal o podvrhnutí zdrojové IP adresy.

Nikoli, routuje se na základě cílové adresy. rp_filter jste do toho zamotal vy, nijak s tím nesouvisí.

Tedy že někdo zvenčí (z internetu) pošle na Váš router packet, který se bude jevit jako (např.) 192.168.0.55 => 192.168.0.68. Ale to jsou interní adresy, správně by takový packet vůbec neměl přijít, ale nešť, stát se to může.

Jsou to adresy, které nejsou routovatelné v globálním internetu. V síti ISP klidně putovat můžou, takže na rozhraní vašeho routeru se takový paket klidně může dostat zcela legálně, nemusí to být žádná podvržená adresa.

Co udělá router? Předá ho z internet0 na net0 a tam dorazí na počítač .68. Ten na packet odpoví, ale komu odpoví? Odpoví počítači .55, který byl podvržený jako zdrojová adresa. Ta odpověď se už zpět na router vůbec nedostane.

To ale pořád předpokládáte zfalšovanou zdrojovou IP adresu. Nevím, proč jste si vymyslel zrovna takovýhle divný případ. Aby paket prolezl tím routerem, musí mít cílovou IP adresu z té domácí sítě. Zdrojovou adresu může mít úplně libovolnou, a odpověď pak půjde na tuhle adresu. Takže jediný problém je jak zařídit, aby paket s tou správnou cílovou adresou dorazil až na rozhraní toho domácího routeru. Obecně v internetu je to samozřejmě problém, protože to je adresa, která není globálně routovatelná. Ale víte, jak přesně se bude chovat síť ISP? Víte, co se stane, když takový paket odešle soused, který je na stejném segmentu sítě nebo na stejném WiFi sektoru?

RP filtr slouží k tomu, že se takový packet vůbec nedostane ze špatného interface dovnitř. Tedy, že 192.168.x.x může přijít jedině z net0. Pro základní použití je RP filtr užitečný, ale jsou situace, kdy je potřeba vypnout - a v tu chvíli už musíte vědět, co děláte a zabezpečit si to na firewallu.

RP filtr slouží k tomu, že paket přijde z té samé sítě, kam by měla být odeslána odpověď na něj. Řeší tedy pakety s podivnou zdrojovou IP adresou, přičemž k prostřelení NATu je potřeba naopak vhodná cílová IP adresa.

2060

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 21:08:38 »

Tomu brání spoof protection (rp_filter) na Linuxu, ale ano, ta může být vypnuta.
Na takto malformovaný packet se útočník nedočká odpovědi, takže míra rizika dramaticky klesá.

Vidíte někde ve svém textu zkratku NAT? Nevidíte, správně. Takže NAT s tím nemá co do činění.

Vysvětluju tím tazateli to, proč v příkladech jsou mnohdy forward pravidla vynechána.

Ale vysvětlujete to špatně. FORWARD pravidla jsou při vysvětlování NATu vynechána proto, že s NATem nijak nesouvisí. V Linuxu se NAT konfiguruje stejným příkazem, jako firewall, je to stejný kód jádra, ale jsou to dvě různé věci. NAT provádí překlad adres, firewall filtruje (blokuje) síťový provoz. Každé to má jinou funkci a může to stát zcela samostatně – můžete používat jenom NAT nebo jenom firewall.

2061

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 19:49:26 »

protože zvenčí nikdo nemůže poslat do vnitřní sítě požadavek (zvenčí nejde adresovat nic vevnitř)

Ale může a jde. Když na rozhraní internet0 přijde paket s cílovou IP adresou z vnitřní sítě, tak ho router prostě přepošle do vnitřní sítě. Ten router neví nic o tom, že vy něčemu říkáte vnější a vnitřní síť, on jenom přeposílá pakety tam, kam podle cílové IP adresy patří.

On jako firewall svým způsobem slouží i ten MASQUERADE

Takže neslouží.

Ve skutečnosti dobře nastavený firewall má mít o mnoho více pravidel, aby síť fungovala opravdu dobře - ale toto je takový základ, který funguje.

Ve skutečnosti síť nejlépe funguje bez firewallu – firewall nemůže fungování sítě zlepšit, protože jenom nějaký provoz blokuje. Dobře nastavený firewall povolí veškerý legitimní provoz a zablokuje ten nežádoucí. Nedá se říci, jestli dobře nastavený firewall má hodně pravidle nebo málo, to záleží na konkrétní situaci. Ona je totiž především nesmyslná představa, že existuje něco jako univerzální nastavení firewallu. Firewall má chránit nějakou konkrétní síť a musí být nastaven na míru tomu, co v té síti je provozované.

Pokud někdo nerozumí sítím, je víceméně zbytečné, aby nastavoval firewall. Prostě je jeho síť součástí internetu, je veřejná, a pokusy s firewallem na tom obvykle nic moc nezmění.

2062

Hardware / Re:Monitor setup

« kdy: 17. 01. 2020, 10:37:04 »

Mám 4K displej a vedle něj jeden klasický. Fyzicky jsou na výšku skoro stejně vysoké, ale rozlišení toho 4K je skoro dvojnásobné. Což vede k tomu, že když přejíždím myší z toho 4K displeje, musím přejet ve správné (u mne horní) polovině obrazovky. Alespoň se to tak chová ve Windows. Podporu 4K už mají Windows jakž takž vychytanou, ale ta kombinace 4K+HD jim pořád dost hapruje – třeba při odemčení počítače sesype všechna okna na ten 4K displej. Používám to tak i přes to, výhody 4K to pro mne převáží, jenom upozorňuju, že vše nemusí fungovat správně, jak by člověk čekal. Ale nevím, jak jsou na tom jiné operační systémy, nepoužívám na desktopu ani Linux ani Mac.

2063

Server / Re:HTTP, HTTPS a HSTS na IIS

« kdy: 14. 01. 2020, 01:03:01 »

Bezpečně to vyřešit nejde

Jenom upřesním – bezpečně to nemůžete vyřešit jako správce serveru s dnešními technologiemi. Pokud teda HSTS preload list nepovažujete za bezpečné řešení. Teoreticky to samozřejmě bezpečně vyřešit lze.

2064

Server / Re:HTTP, HTTPS a HSTS na IIS

« kdy: 14. 01. 2020, 00:49:11 »

Bezpečně to vyřešit nejde – HSTS je dnes jediný široce podporovaný způsob, jak prohlížeči signalizovat, že web funguje přes HTTPS. Ale prohlížeč se o tom dozví až při prvním přístupu – to je to nebezpečné místo. Předejít tomuhle problému jde přes HSTS preload list, teda alespoň do doby, než autoři prohlížečů uznají, že nacpat všechny domény z celého internetu do jednoho souboru opravdu není dobrý nápad.

2065

O serveru Root.cz / Re:Neschvalování žádných komentářů

« kdy: 12. 01. 2020, 15:51:27 »

Vždyť tam máte napsáno, že komentář čeká na schválení, ne že byl zamítnut. Vzhledem k tomu, že zprávička vyšla v pátek odpoledne a teď je neděle, je mimo pracovní dobu a nejspíš se ještě nikdo ke schvalování nedostal. Nevím, proč v tom hned hledáte cenzuru. Root těžko bude platit službu 24×7 pro schvalování komentářů, takové terno komentáře asi nebudou.

2066

Sítě / Re:iptables - nat pro DNS

« kdy: 10. 01. 2020, 15:16:52 »

Přepdokládám, že ten nový DNS server umí poslat pakety přímo zpět do té privátní sítě. Tím pádem se pakety nevrací zpět původní cestou přes NAT, který by je přeložil zpět – a počítač, který položil dotaz, dostane odpověď z jiné IP adresy, než kam posílal dotaz, takže samozřejmě odpověď zahodí. Musíte tedy na NATujícím počítači dělat nejenom DNAT, ale i SNAT (maškarádu) – nastavit zdrojovou adresu paketu na adresu toho NATujícího zařízení. DNS server tím pádem neodpoví přímo, ale pošle paket zpět na NATující zařízení a to má šanci paket upravit zpět (udělat inverzní operaci, kterou dělal DNAT na paketu dotazu). Obecně se tomu říká hairpin NAT, v iptables se to dělá právě pomocí toho SNATu nebo maškarády.

2067

Distribuce / Re:Systemd a odpojení filestystemu při vypnutí

« kdy: 09. 01. 2020, 22:38:56 »

Potřebujete, aby systemd věděl, že ta služba pořád běží. Pokud se služba odforkuje a prnví proces skončí, nemá systemd jak jednoduše zjistit, že služba ve skutečnosti dál běží na pozadí. Spusťte tu službu na popředí, ať se nedémonizuje.

2068

Distribuce / Re:Systemd a odpojení filestystemu při vypnutí

« kdy: 06. 01. 2020, 19:05:21 »

Pokud je služba závislá na tom, že je přimountován nějaký svazek, použijte RequiresMountsFor=. Služba se pak nastartuje teprve po namountování svazku a svazek bude odpojen teprve po ukončení služby.

2069

Hardware / Re:Redukce USB na SATA Power (ne data)

« kdy: 05. 01. 2020, 13:46:03 »

Záleží na tom, zda Amazon.de doručující do ČR považujete za český e-shop: P52 USB konektor na SATA 15pin Kabel adaptér napájecí kabel pro PC SATA pevný disk

2070

Sítě / Re:Forwarding na zdielané zložky

« kdy: 04. 01. 2020, 12:19:10 »

Verejnú IP poskytovateľa mám a mám tam otvorené aj nejaké porty ale nemám svoju pridelenú verejnú IP.

Přidávám se k názoru Vykrooka – nechte to nakonfigurovat někoho, kdo zná alespoň úplné základy, případně vám vysvětlí, co je z hlediska bezpečnosti rozumné a čím vystavujete své soubory celému světu. Podle toho, co zatím píšete, jste na nejlepší cestě k tomu, že vám stejně nebude fungovat nic z toho, co chcete, ale útočníci k vám budou mít cestu otevřenou.