Příspěvky

3736

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 22. 09. 2017, 18:41:24 »

Omlouvám se, v tomto máte pravdu.

OK, stane se…

3737

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 22. 09. 2017, 18:09:24 »

Graylisting na webu je jiste dobry napad.

Moje chyba, měl jsem nakonec dát bazinga!

3738

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 22. 09. 2017, 18:06:24 »

F2b je poslední instance, která může ještě něco zachytit.

Zase „může“ a „něco“. Máte tam implementované také náhodné uzavírání spojení? To také může něco zachytit.

Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná.

Protože pokud je někde bezpečnostní opatření proti nějakému typu útoku, nedává smysl před to nebo za to dávat ještě slabší opatření proti stejnému typu útoku. Když někam dáte bezpečnostní dveře, nedává žádný smysl jako další bezpečnostní opatření před ně ani za ně dávat ještě jedny normální dveře.

Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní.

Problém je v tom, že to vzbuzuje zdání, že jste pro bezpečnost udělal něco dalšího, takže získáte pocit, že už to stačí – takže vám to efektivně zabrání dělat skutečná bezpečnostní opatření.

na f2b dojde zřídka kdy.

Pozoruhodné je, že si stále myslíte, že útočník bude tak laskav a udělá vše pro to, aby tím „zřídka kdy“ byl zrovna on.

Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat.

To je právě ten problém, že fail2ban žádný útok nedetekuje, jenom se probudí, když už je po útoku.

Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.

A do trezoru umístíte kasičku s visacím zámkem z tržnice a do ní ještě lísteček „prosím, neberte to“. Protože když zloděje nezastavil profi trezor, zámek z tržnice jistě uspěje.

Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí.

Proč si vymýšlíte věci, o kterých vůbec nic nevíte? V Evropě už pět let platí, že jeden člen RIPE dostane jednou 1024 IP adres, a tím to končí. Další IPv4 adresy může získat buď podvodem, kdy se zakládají fiktivní noví ISP (ale proti tomu už se podnikají nějaká opatření), a nebo nákupem od někoho, kdo má velké „zásoby“ ještě z doby, kdy bylo IPv4 adres habakuk a univerzity nebo velké firmy získaly na dnešní poměry obrovské bloky. Případně se něco dá „vytěžit“ v Africe.

Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.

Nikoli. Já akorát ty, kteří pořád dokola píší o „může něco zachytit“ a „vícestupňové ochraně“, podezírám, že tam něco plácnou, a vůbec nepřemýšlí o tom, před čím a jak to má chránit a jak to souvisí s ostatními mechanismy obrany. A pak si řeknou „už jsem zabezpečování věnoval dvě hodiny, to už musí stačit, mám zabezpečeno“. Pokud nad zabezpečením někdo přemýšlí, musí si okamžitě, jakmile někdo zmíní blacklist IP adres, položit otázku: „A co když útočník na tom blacklistu nebude?“ Pokud si na ni odpoví a stále ještě si myslí, že má dostatečně zabezpečený systém, musí si vzápětí položit otázku: „Co by se tedy stalo, kdyby tam ten fail2ban vůbec nebyl?“

3739

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 22. 09. 2017, 16:57:09 »

Bohužel, taková je praxe. Zákazník si objedná zhotovitele webu. Ten to namastí do WP, Joomly, ..., s pluginami se nemaže, přepíše si je k obrazu svému (proč by něco přetěžoval), a pak vypne aktualizace, aby se dodávka sama od sebe nesesypala. Zákazník převezme, a než dojde k průšvihu, trvá to třeba měsíce. Vy, jako správce serveru nemáte možnost zákazníkovi moc kecat do toho, jestli koupil dobře nebo špatně udělaný systém. Naopak, když to někdo prolomí, tak zákazník už nejde reklamovat ke zhotoviteli, ten mu přeci předal web funkční. Takže logicky se obrací na správce serveru. Ano, můžete to zákazníkovi vysvětlit. Některý vám bude věřit, jiný nebude, ale obě skupiny budou nespokojené.

Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa. Pokud používáte fail2ban jako alibi před hloupými zákazníky, abyste jim mohl namluvit, že to bylo zabezpečené, ale jednalo se o velmi sofistikovaný útok, a následně je zkásnout ještě za řešení napadeného serveru, měl byste si uvědomit, že na odborném fóru vám na tohle přeci jen lidé nenaletí.

Stejnou logikou byste mohl označit mod_security / OSWAP / NAXSI jako zbytečné žrouty výkonu, které řeší blbě napsané aplikace. V tom máte pravdu, ale opět, v praxi je to level zabezpečení, který kompenzuje problémy vzniknuvší někde, kam zasáhnout nemůžete.

Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.

Ale podle stejné logiky by se dalo říct, že ISP by také mohli vzít na vědomí, že skrývat různé zákazníky, kteří spolu nemají nic společného, za stejnou IP adresu, je špatná praxe

Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.

Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů. Uživatel, který se chce dostat na nějaký web a zobrazí se mu chyba, přeci také vždycky zkusí stránku obnovit, ne jako nějaký hloupý robot, který jde hned dál. Toho by se mělo využít. Ve spojení s fail2ban budete mít takřka neprůstřelný web. Teda pokud na ně někdo nezaútočí. Není zač.

3740

Server / Re:SNI a blokace IP/DNS

« kdy: 22. 09. 2017, 13:16:08 »

Cache aplikace je druha vec...predpokladam, ze v dobe cloudovych sluzeb dost problemova.

Neřekl bych. Třeba Google Chrome DNS odpovědi kešuje, a předpokládám, že zrovna Google ví docela dobře, jak by se měl webový prohlížeč chovat ke cloudovým službám.

3741

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 22. 09. 2017, 11:59:13 »

To všechno je o penězích. Pokud Vám zákazník / zákazníci mastí weby na profláklých redakčních systémech, co stránka, to 40 SQL dotazů atp., odmítá aktualizovat (stojí to peníze!), vyžaduje apache/.htaccess, tak je prakticky mimo realitu hledat jiné řešení. O robustních aplikacích, a řešení problémů tam, kde vznikají, si pak můžete jen nechat zdát.

Akorát že fail2ban není řešení takové situace. Ano, může se stát, že fail2ban někdy omylem zastaví útok na takovou aplikaci. Ale to nic nemění na tom, že máte extrémně děravý server.

Profláklé redakční mají ve výchozí instalaci nastavenou automatickou aktualizaci, aby to stálo peníze, musí to zase někdo vědomě pokazit. Mnohem víc peněz pak bude stát řešení napadeného serveru.

3742

Server / Re:SNI a blokace IP/DNS

« kdy: 22. 09. 2017, 11:39:35 »

Pokud by firewall měl např. 100 pravidel zadaných přes FQDN, pak by musel při každém novém spojení všech 100 FQDN resolvovat, než by zjistil, jestli packet smí projít. To není reálné na L3 firewallu.

I kdyby to firewall dělal (třeba pro jedno pravidlo a nízký počet navazovaných spojení), nikde není řečeno, že klient přeloží doménové jméno na stejné adresy, jako firewall. I kdyby byl spřažený firewall s resolvujícím DNS serverem, aby klient dostával stejné odpovědi, s jakou pracuje firewall, není zaručeno, že klient nebude mít jinou hodnotu v cache (a klidně to může být cache aplikace, na kterou síťový administrátor nijak nedosáhne).

Také nemáte pravdu. Proxy pro HTTPS nejde bez změny certifikátu. HTTPS je navržený právě od toho, aby v cestě nemohl nikdo stát a naslouchat, tedy ani proxy. Pokud je navíc na doméně HSTS, nepůjde to ani za cenu akceptování výměny certifikátu.

Při použití SNI rozšíření se doménové jméno přenáší nešifrované, takže ho proxy může vidět. Na zablokování komunikace to stačí, nic víc proxy vidět nepotřebuje.

3743

Server / Re:Postfix: Změna smtpd_banner

« kdy: 22. 09. 2017, 08:41:02 »

Podívejte se přes netstat -nltp, jestli na portu 25 vůbec naslouchá ten Postfix. Příklad postconf vám vypíše aktuální hodnoty přečtené z konfiguračního souboru, uvidíte, jestli je to tam správně.

3744

Server / Re:SNI a blokace IP/DNS

« kdy: 21. 09. 2017, 23:13:26 »

No jiste ... napise se to do hosts

Nikoli, změna /etc/hosts na routeru opravdu překlad DNS názvů na ostatních zařízeních v síti nijak neovlivní.

3745

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 21. 09. 2017, 14:03:33 »

Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.

Ano, toto je přesná demonstrace chyb systému podobnému fail2ban, až na to, že blokován bude uživatel i při naprosto legálních dotazech.

Google ale uživatele neblokuje, jenom musí vyplnit CAPTCHA. Mezi zablokováním uživatele, se kterým nemůže vůbec nic udělat, a jeho ověřením přes CAPTCHA je diametrální rozdíl.

3746

Server / Re:SNI a blokace IP/DNS

« kdy: 21. 09. 2017, 13:53:10 »

Zároveň jde filtrovat HTTPS traffic pro konkrétní doménu (z externího, jak odborníci říkají "předsunutého" nebo představeného nebo předzasutého nebo předpojatého nebo předřazeného firewallu- tedy např z routeru a nebo host computeru, pokud requesty jdou z virtuálky)?

Na ostatní věci už tu jsou správné odpovědi, přidám ještě odpověď na toto. Hostname se přenáší v nešifrované části HTTPS spojení, takže na jeho základě je možné HTTPS spojení s určitou doménou zablokovat. Není to ale povinnou součástí HTTPS, je to rozšíření nazývané SNI, které je relativně nové. Všechny běžně používané prohlížeče už to podporují, ale nevím, jaká je podpora na straně různých firewallových řešení (aby tu doménu uměla v komunikaci najít).

Takže záleží na tom, k čemu tu blokaci chcete použít. Pokud chcete zamezit komunikaci běžných webových prohlížečů nebo klienta, o kterém víte, že SNI používá, můžete to použít. Ale musíte počítat s tím, že to není 100% řešení a pokud někdo může komunikaci ovlivnit, nemusí to rozšíření použít a pak přes firewall projde.

3747

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 21. 09. 2017, 07:26:18 »

Psal jste něco o záplatování a robustních aplikacích. K tomu byly další dotazy, jak byste to řešil v praxi, která není nikdy ideální. Robustní aplikace a fixy jsou samozřejmě také nutné, ale není to přeci jediná vrstva ochrany.

Nechápu, proč se na něco opakovaně ptáte, a ani jednou si nepřečtete odpověď.

1. dnes už snad není moc takových ISP, kteří by dělali takovou magoriádu, jako že by točili NAT IP adresy. Mapování bývá pevné (rozdělené hashem). Měnit IP adresu způsobí problémy některým službám a nic to nikomu nepřinese. Pokud má někdo takového ISP, zcela zaslouženě ho asi brzy opustí.

Vy jako provozovatel serveru můžete ovlivnit, jak vaši klienti NATují? Asi těžko. Takže musíte předpokládat tu pro vás nejméně příznivou variantu. Navíc jak IPv4 adresy docházejí, budou se ISP snažit využívat ty zbývající efektivněji, což znamená mimo jiné sdružovat NAT do větších skupin, které budou pracovat společně – pak je možné agregační poměr zvětšovat.

2. Pokud botnet, podle Vaší teorie, udělá jeden úzce zaměřený útok, na blacklist se nedostane a neřešíme problém.

Řešíme, protože pak je ten váš blacklist k ničemu.

3. Pokud podle mé teorie provede víc pokusů v sérii, dostane se na blacklist zaslouženě, a i kdyby to odřízlo několik legitimních uživatelů, nebude ta škoda příliš vysoká.

To máte dost zvláštní přístup k provozování služby, když klidně úplně zbytečně odříznete legitimní uživatele. Nebylo by nejlepší v takovém případě službu úplně vypnout? Zablokuje se tím 100 % útoků a škoda nebude příliš vysoká.

4. Riziko, že na daný server bude přistupovat z NATOVANÉ IP adresy jak bot, tak legitimní uživatel, vidím jako sakra nízké. NAT 1:80, serverů statisíce, pravděpodobnost?

Jaké statisíce serverů? Víte, jaká zařízení se stávají součástí botnetů? Špatně zabezpečená malá zařízení (routery, webkamery, NASy), neudržované SOHO počítače s Windows, neudržované servery, které provozuje někdo, kdo tomu nerozumí – takže to budou buď levné VPS, nebo opět počítače někde doma ve sklepě nebo v kanceláři v nějakém kumbálu. Takže jsou to hlavně zařízení v SOHO sítích, kde se ale zároveň vyskytují i ti legitimní uživatelé.

Podle typu služby se jistě ladí typ zabezpečení a přísnost.

Ano, naštěstí, takže fail2ban na nějakém blogu nakonec opravdu nemusí vadit mnoha lidem.

Datové schránky Vás jistě na určitý čas odříznou.

To je právě váš problém, že dáváte přednost vlastním názorům před fakty. Provozovatel datových schránek si naštěstí nic takového nemůže dovolit, a naštěstí to neprovozují úplní amatéři. Kdy vám datové schránky mohou odepřít přístup je napsáno v provozním řádu, a je to jediný případ, který zabraňuje útoku hrubou silou na hesla uživatelů datových schránek.

Pokud jedete na delší dobu pryč

Týden? A nechtěl byste někomu pro jistotu dávat plnou moc, když jdete na oběd?

Ale houby. Kromě nějakých zoufalejších freenetů (znám víc freenetů, a spousta z nich je velmi profesionálních), ISP používají veřejné IP adresy, v nejhorším případě NAT v poměru blízkém 1:1. K tomu jednoduše vedou technické potřeby.

No jistě, nedostatek IPv4 adres je výmysl, uživatelé, kteří bojují s NATem jsou výmysl, všichni používají veřejné IP adresy.

Za to hovoří výsledky. Počet banovaných IP adres

Aha, takže pro vás je dobrým výsledkem provozu služby co největší počet zabanovaných IP adres. Jak už jsem psal, mám pro vás radu, jak si výsledky ještě zlepšit: zabanujte úplně všechny IP adresy.

Místo blbnutí raději racionálně zvažte, co je NAT, a jak se používá.

Děkuji, ale o vaše vybájené představy o fungování NATU nemám zájem.

Když mi tvrdíte, že je normální, aby ISP masivně NATOVAL a ještě rotoval IP adresy

Nikde jsem netvrdil, že je to normální. Provozovatel serveru ale nemůže ovlivnit, jestli jeho klienti budou NATovat normálně nebo nenormální. Navíc NATování bohužel normální je, vítejte v roce 2017.

3748

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 22:28:18 »

aspoň mám méně dat k analýze

Ano, to je vůbec nejpádnější důvod pro nasazení fail2ban – aby se vám neplnily logy… Nenapadlo vás někdy, že když nějaká data nechcete analyzovat, nemusíte je před sebou schovávat, ale můžete je při analýze prostě ignorovat? Ještě že neděláte třeba analýzu návštěvnosti webu, to byste zakázal zaměstnancům chodit na web vlastní firmy, aby vám nekazili statistiky.

3749

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 22:23:54 »

Ale jaké to jsou?

Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?

Naopak. Jaká je pravděpodobnost, že botnet na zavirovaném PC zaútočí na ten samý server, jako ten samý uživatel bude chtít na ten samý server přistupovat legitimně? Vzhledem k tomu, jak jste mi popisoval stochastiku chování výběru IP adres botnety, měl byste uznat, že taková situace je krajně nepravděpodobná.

Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.

Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?

IP adresa v podstatě identifikuje útočníka. Míra NATOVÁNÍ není tak velká.

No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.

To ne. Ale budu-li vědět, že na malém městě se pohybuje opilý černovlasý muž se zbraní v kabátu, tak patrně budu jako ředitel banky instruovat ochranku, aby takové muže podrobili důkladné kontrole. Malé město = zúžení pravděpodobnosti, popis muže = zúžení pravděpodobnosti, instrukce ochrance = blacklist.

Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.

No např. mod_security/OSWAP definuje dostatek generických pravidel, že např. exploity na webu dokáže s určitou účinností zadržet.

To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.

Nezadrží to 100 %, ale určitě je to bezpečnější, než bez toho.

Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je. Což se vskutku nedá popřít, pokud by se někdo pokusil dokázat, že vliv je nulový, dříve či později by dospěl ke sporu. Nicméně ten vliv je neměřitelný, daleko za jakoukoli statistickou chybou, je na úrovni šumu pozadí – a je obrovská spousta věcí, které mají vliv podstatně větší.

3750

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 17:50:11 »

Jaké silnější?

Takové silnější, že dokáží zastavit útok podle toho, že jde o útok, ne podle toho, že se útočník náhodou trefí do nějakého náhodného seznamu IP adres.

1. Jak to budete řešit v prostředí, kde nemůžete ihned vše aktualizovat.
2. Jak budete řešit 0day?
3. Jak budete řešit vulnerabilities, kreré jsou známé, ale fix zatím není? (Viz CVE a doba odstranění).

Úplně stejně, jako před pěti hodinami.

Na okraj, ze samotných CVE často plyne doporučení hotfixu na jiném levelu zabezpečení, mnohé CVE mají severitu nižší, pokud máte splněné podmínky vícestupňového zabezpečení.

Jenže blokování přístupu podle náhodného seznamu IP adres není zabezpečení. Uvědomte si konečně, že mezi aktuálním útokem a IP adresami, ze kterých přišel nějaký předchozí útok, není žádná souvislost. Za prvé aktuální útok nijak nesouvisí s předchozími útoky, za druhé IP adresa nijak neidentifikuje útočníka. Je to jako kdybyste v bance otevřel trezor a „zabezpečil“ ho tak, že před něj postavíte hlídače, který vyhodí každého, kdo se představí jako Karel – protože jednou vám jistý Karel dal v hospodě ránu pěstí. Že není žádná souvislost mezi ránou pěstí v hospodě a vyloupením banky? Že se lupič–muž klidně může představit jako Boženka a hlídač ho pustí? To jsou pro vás nepodstatné detaily, protože vy máte trezor zabezpečený.

Místo spekulování nad tím, jestli se zbláznil svět, popište, jak váš fail2ban zareaguje v případě, na který jste se sám ptal. Útočník objeví nějakou 0day zranitelnost v nějakém široce používaném systému, seznam IP adres, kde takový systém běží už má, a nebude se s tím nijak mazat, prostě spustí exploit ze svého počítače.