Příspěvky

8491

Sítě / Re:OpenVPN a O2 ADSL

« kdy: 03. 05. 2012, 15:17:01 »

Takze problem nastane opravdu po restartu routeru NAT2? PC2 pri tom zustane bezet?

Tohle je potreba si vyjasnit a pak teprv resit dal.

Pokud ano, tak to muzeme zuzit na to, ze to s OpenVPN vubec nesouvisi a proste jenom router nepropousti po restartu pakety tam, kam by mel? To asi teda bude chtit se v konfiguraci toho routeru trochu pohrabat a zjistit, proc se chova tak divne (napr. nedochazi nahodou k tomu, ze konfiguraci pri restartu zapomene? Nebo neco takovyho...)

Taky jsem moc nepochopil tohle:

ale na port 8000 na NAT2 prostě nic nepřichází...

Jak to vis? Myslel jsem, ze NAT2 je, jak pises, adsl modem. Na nem jsi teda asi ten tcpdump nespoustel, ne?

Proste chtelo by to postupne proverit celou cestu a zjistit, kde se vlastne pakety ztraci:
1. prichazi na NAT2?
2. opousteji NAT2?
3. prichazeji na PC2?

8492

Sítě / Re:Útok na server - hlásit ISP?

« kdy: 02. 05. 2012, 20:39:05 »

presun SSH na vyssi port a na 22 dej pro zabaveni kippo

No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový

Díky!

8493

Server / Re:Monitorovani serveru

« kdy: 02. 05. 2012, 11:43:42 »

Pouzivam Nagios na sber dat (spousta pluginu) a planovani checku. Pomoci volby service_perfdata_command a host_perfdata_command se data posilaji na server, kde uz to prebira vlastnorucne napsany soft (nagios mi na tohle nevyhovoval z vic duvodu, ale hlavne proto, ze se musi konfigurace zadat na pobocce i na centrale, coz je des).

Jiny systemy jsem taky zkousel, ale vetsinou mi nevyhovovala jejich molochovitost. Nagios je krasne prehledny, jednoduchy, (podle me) typicky unixovy.

8494

Software / Re:Jailkit a mount adresářů zvenčí

« kdy: 02. 05. 2012, 11:34:26 »

Je otazka, jaky by to vlastne melo mit smysl - jak se lapidarne rika "chroot is not a security feature" )
Chroot nebrani (pokud se teda neco od te doby nezmenilo) proti tomu, kdyz uzivatel ziska roota. Takze pak celkem neni duvod uzivatele zavirat v chrootu a muzu ho celkem v klidu nechat smejcit po celem FS, pokud tam mam spravne nastavena prava.

Viz:
http://www.mail-archive.com/vserver@list.linux-vserver.org/msg00447.html
http://linux-vserver.org/Secure_chroot_Barrier
http://www.mail-archive.com/vserver@list.linux-vserver.org/msg00447.html

Alespon ted z hlavy me teda nenapada, k cemu by to vlastne bylo dobre, proti cemu by to melo chranit. Leda ze by smyslem nebyla ochrana (bezpecnost) ale moznost uzivatelum poskytnout nejake specialne prizpusobene testovaci prostredi - to pak jo, to by slo.

Vetsi mira bezpecnosti by asi mela byt pod BSD jailem, ale i tam je asi otazka, jestli je rozumne na to 100%ne spolihat...

8495

Hardware / Re:ADSL modem

« kdy: 01. 05. 2012, 13:53:32 »

já jsem však reagoval na to, že dotyční se v tom nevyzná ...

Četl jsem to jako že nemá přehled o tom, co je na trhu..

Pokud to znamenalo "nechci se v tom šťourat", tak by mohl stačit ten odkazovaný D-Link. Filtrace je tam sice jenom na urovni sitů (www.facebook.com), ale to by třeba mohlo stačit.

8496

Hardware / Re:ADSL modem

« kdy: 01. 05. 2012, 13:13:34 »

Pochybuji, že něco takového je vůbec na trhu, leda s kombinací s další krabičkou, ale v jedné to asi nebude.

Krabiček s ADSL a wifi je spousta - jde teda jenom o to, najít takovou, která buď 1) má postačující parental control nebo 2) jde tam dostat openwrt, monowall, pfsense, ipcop apod.

Ad 1) by mohlo být třeba tohle: http://207.150.194.182/resources/user_manuals/DSL-2740B_C3_Manual_1.00.pdf  (jednoduche filtrovani popsane na s. 59)

Ad 2) to bude chtít si projít podporovaný hardware - např. na http://wiki.openwrt.org/toh/start třeba http://wiki.openwrt.org/toh/linksys/wag54g vypadá, že s "trochou" hackování by mohl jet...

8497

Windows a jiné systémy / Re:Šifrovaná virtuální Windows

« kdy: 27. 04. 2012, 10:49:07 »

Tak mas pravdu, ale to uz je trochu sci-fi a hranici s paranoiou nemyslis?

Vyhledavani toho klice v pameti uspaneho virtualu trochu sci-fi je. Ale uspani beziciho virtualu, jeho zkopirovani a spusteni jinde mi zas takovy scifi neprijde.

Tahle firemní politika funguje proti fetkam, nenechavejm neprizpusobivejm a pripadne zvedavejm a kolegum a lidem v kategorii script-kiddie. Proti cilenymu utoku ti to stejne nepomuze.

To uz musi tazatel posoudit sam, jestli to resi splnuje jejich firemni politiku nebo ne.

8498

Windows a jiné systémy / Re:Šifrovaná virtuální Windows

« kdy: 27. 04. 2012, 08:09:00 »

budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr..

Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/
Samo, ze bych nezamknuty laptop nikde nenechal, ale cert nikdy nespi. Oukey, takze to asi vypada na sifrovani primo ve virtualnich windows...

To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)

8499

Server / Re:Hacknutý server - co dělat?

« kdy: 26. 04. 2012, 08:39:31 »

Z dokumentace k OpenVPN:

Ok. Proč si to teda komplikovat a nedat za VPN telnet?

8500

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 23:51:28 »

pri SSH je to sice trosku ine, ale v principe sa jedna o to iste ..

Tak samozrejme pokud ma byt ssh dostupne i nekomu jinemu nez spravcum, musi byt na standardnim portu, o tom prece vubec neni rec.

8501

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 23:32:52 »

Ak mal utocnik keylogger a vy ste sa prihlasili na roota, tak ma po domnelom odhlaseni skoro urcite aj roota, s ktorym si moze nakopirovat backdoornuty SSH demon [...] Ked si tam raz da backdoor [...]

To už ovšem není otázka toho, o čem se bavíme (bezpečná autentizace, eliminace botů). Tento problém se nijak netýká ssh klíčů a standardně se řeší nějakým IDSkem*. V případě větší míry paranoi nějakým MAC nebo jiným omezením roota (třeba kern.securelevel na FreeBSD).

* protože zdrojem takového útoku může být libovolný bug v sw s rootovským oprávněním

Zmena klucov je to najmensie a najjednoduchsie, co robim pri kazdom podozreni, ze niekto mohol moje kluce ziskat.

No vidite - a ja si tohle poteseni rad odepru
Myslim, že jsme téma celkem vyčerpali - vám vyhovuje váš způsob a považujete ho za adekvátně bezpečný pro vaši situaci. Mně vyhovuje jiný způsob a považuji ho za stejně bezpečný a podstatně pohodlnější.

Tím bych to uzavřel a za mě HOWGH

8502

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 19:47:34 »

USB sniffing - to by som pripajal USB kluc do hentakej veci? Snazim sa byt aspon trochu opatrny a tam by som USB kluc nepichal. Takze toto odola voci "upratovacka attack".

Tak jeste jednou a naposledy: neni rozhodujici, jestli to odola "upratovacka attack". Rozhodujici je, jestli mi to dava nejakou jistotu navic. Ona to totiz nemusi byt upratovacka, on to muze byt borec-co-umi-rozdelat-case-a-krabicku-dat-dovnitr-attack.

8503

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 19:46:04 »

Staci namiesto ukoncenia pripojenia pri exit / ctrl+d nechat toto spojenie v pozadi s tym, ze uzivatel ostane prihlaseny a ssh klient sa tvari, ze sa spojenie ukoncilo.

Vždyť jsem to psal: pokud není důvěryhodný HW a SW, nefunguje nic.

Smartcard se ale podstatně liší v tom, že:
1. můžu lehce zjistit, jestli k takové situaci došlo
2. vím, že k ní nemůže dojít v budoucnu
3. vím, že nedošlo ke kompromitaci klíče, jenom k jeho zneužití. Proto taky nemusím klíč měnit a vím, že nebude použit na jiných serverech než na tom, na kterém použit byl.

Ta přidaná hodnota je právě v tom, že určité scénáře můžu s jistotou vyloučit. S klíčem na flashce můžu vyloučit jenom tu kameru.

Preto sa na toto neda spoliehat - ja to len odporucam ako lepsiu alternativu k heslu.

Pokud mi to řešení nedává žádnou jistotu navíc, není to lepší alternativa, ale falešný pocit bezpečí.

8504

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 16:32:53 »

nedalo by se nejak nastavit, aby doba mezi poslanim hesla a overenim nebyla konstantni, ale treba tolik sekund, kolik jiz bylo z te IP adresy pokusu o prihlaseni za tento den?

To by se sice dalo (treba mirnou upravou pam_delay), ale moc by to nepomohlo (psal jsem, ze to je priklad), protoze utoky dneska uz byvaji z ruznych IPcek a z jednoho IPcka se moc neopakuji.

8505

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 16:26:50 »

Pro natažení klíče do ssh clienta mi stačí pár vteřin, pro zkopírování např 8GB flash už pár vteřin nestačí.

To je sice pravda, ale pořád zůstávají dvě zranitelnosti, který nemůžeš vyloučit: usb sniffing a upravené ssh.

Čili tu *jistotu* navíc ti to žádnou nedá (kromě falešného pocitu bezpečí).