Příspěvky

9256

Sítě / Re: Vlastná hostmaska

« kdy: 01. 07. 2010, 08:43:43 »

Možná není od věci vědet, jak to vlastně všechno zhruba funguje a co teda přesně chceš dosáhnout (z dotazu to není úplně jasné).

Kdybys třeba psal příspěvek do téhle diskuse přes počítač aisa.fi.muni.cz, tak server forum.root.cz bude v principu vědět jenom tolik, že se na něj připojil počítač s IP adresou 147.251.48.1.

Pokud server forum.root.cz bude chtít znát DNS jméno tohoto počítače, zeptá se patřičného DNS serveru, jaké jméno k téhle IP adrese patří:

# host -vt any 147.251.48.1
Trying "1.48.251.147.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26769
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;1.48.251.147.in-addr.arpa.   IN   PTR

;; ANSWER SECTION:
1.48.251.147.in-addr.arpa. 1793   IN   PTR   aisa.fi.muni.cz.

;; AUTHORITY SECTION:
48.251.147.in-addr.arpa. 180   IN   NS   ns.muni.cz.
48.251.147.in-addr.arpa. 180   IN   NS   aisa.fi.muni.cz.
48.251.147.in-addr.arpa. 180   IN   NS   anxur.fi.muni.cz.

;; ADDITIONAL SECTION:
ns.muni.cz.      20007   IN   A   147.251.4.33
aisa.fi.muni.cz.   860   IN   A   147.251.48.1
anxur.fi.muni.cz.   333   IN   A   147.251.48.3

Received 171 bytes from 10.0.0.138#53 in 15 ms

---> zeptal se na adresu 1.48.251.147.in-addr.arpa. a patřičný server mu odpověděl, že pro danou adresu existuje PTR záznam "aisa.fi.muni.cz."

Z toho plyne, že kdybys chtěl změnit jméno, které se tímhle postupem zjistí, musel bys změnit záznam na severu, který je autoritativní pro doménu 48.251.147.in-addr.arpa.  (všimni si, že tam chybí na začátku ta jednička). Ve tvé situaci bude správcem tohodle serveru tvůj ISP a chceš po něm, aby změnil "reverzní záznam".

Takže z popsané situace plyne, že to "prezentované jméno" se nemění nastavením tvého serveru, ale serveru patřícího ISP.

Existují i některé protokoly, kde při připojení počítač řekne serveru "ahoj, já jsem aisa.fi.muni.cz" a server si ověří, jestli připojení skutečně přichází z IP, která má tohle jméno. Takových protokolů ale zase není tak moc, takže je otázka, jestli to, co chceš, opravdu potřebuješ a proč. (např. pokud ti jde o to, aby se na rootu zobrazilo u příspěvku .firma.cz, jestli ti za to stojí případné tahanice s ISP

9257

Sítě / Re: Jak v síti detekovat infikovaná Windows

« kdy: 28. 06. 2010, 12:06:13 »

Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.

Co znamená "pojede na portu 80"?

Pokud chce posílat spam (což je tady zdá se mi hlavní téma), tak se musí připojit na XYZ:25, což se dá zakázat poměrně snadno.

Pokud by mělo jít o to, zakázat řízení bota, tak to je víceméně neproveditelné, protože je-li povolena nějaká komunikace uživateli (např. čtení webu), malware velmi lehce použije stejný kanál. Jenže čtení webu zas může probíhat přes proxy a to už je "aplikační firewall", takže jsme na jiné úrovni detekce než s pouhým monitoringem IP adres a portů spojení...

Nicméně i tak komunikaci s botem může člověk v dané situaci třeba klidně hodit za hlavu a zaměřit se spíš na to, aby se 1) bot do počítače vůbec nedostal 2) aby byl na počítači včas detekován (whitlist běžících procesů apod.) 3) aby stejně nic moc nemohl i když se tam dostane

9258

Sítě / Re: Jak v síti detekovat infikovaná Windows

« kdy: 28. 06. 2010, 11:57:56 »

Cili monitoring mi prijde jako docela rozumne a nenasilne reseni. Staci monitoring trafficu.
Hledal jsem, jestli neexistuje pro Munin nejaky plugin, ktery by pres pfctl umel rovnou monitorovat jednotlive IP, abych to nemusel rucne nastavovat (cim min rucni prace, tim je prace presnejsi a bezproblemovejsi ne?).

Je otázka, co se vlastně má monitoringem dosáhnout (a už jsme zase u té politiky

Pokud se má omezit riziko rozesílání spamu, můžou být jiná řešení daleko účinnější - např. mít vlastní SMTP server a politiku, která říká, že veškerá pošta chodí přes něj. Někdo bude možná brblat, že chce používat v práci i doma ten samý SMTP server, ale to je právě otázka toho, jestli existuje autorita, která řekne, že dostat se na blacklist je tak velká zhouba, že převýší i to, že Lojza bude muset přepínat SMTP server když přijde do práce...

Pokud autorita rozhodne, že takhle ne a že se bude dělat monitoring, tak pak bude (imho!)  potřeba řešit spoustu problémů, namátkou:
1. jak monitorovat všechna spojení (nebude to zpomalovat připojení?)
2. kam logy ukládat (nebude jich moc? budou se archivovat?)
3. čím logy analyzovat (jak se pozná "už nějak podezřele moc spojení"?)
4. jak reagovat, když "už je spojení nějak moc"? (odstřihnout konkrétní stroj od netu? Ručně nebo automaticky? Kdo to bude dělat?)
5. kdo, jak a jak často bude dělat testy, že všechno skutečně funguje jak má, abysme věděli, že se na blacklist skutečně nedostaneme?
atd. atd.

Nicméně bych se zaměřil hlavně na to, že se bere jako (vysoce?) pravděpodobný stav, že někdo z uživatelů má na stroji bota... To mi nepřijde jako úplně dobrá výchozí pozice pro vymýšlení bezpečnostní strategie

Myslim, ze by to mohlo par adminum pomoct a omezovani Windows je prece dokonala zabava ne?

Pro mě není žádný kontakt s Windows zábava, natož dokonalá

Jen se netesim, az mi tu zacnou behat, ze jim nejde hrat WoW a tak dale. Jsme mala firma s 25 - 30 Wydlous a mladi kluci chteji hrat online. Taky poslouchat radio a ICQ a tak dale.

No jasně, bude to trochu bolet, ale zas na druhou stranu se to nebude zas až tak strašně měnit - jakmile se to odladí, není potřeba to řešit...

9259

Sítě / Re: Jak v síti detekovat infikovaná Windows

« kdy: 28. 06. 2010, 08:20:03 »

Obávám se, že tady je potřeba začít od "manažerských keců" a oblíbených bonmotů

Bonmot 1: bezpečnost není otázka technologie, ale procesů

Kdo má právo definovat, co uživatele můžou a co ne? Kdo má právo definovat povinnou konfiguraci stanic?

Pokud nikdo ("Já na svém PC antivir nechci, protože na nebezpečné stránky nelezu"), tak bych od takové sítě raději dal ruce pryč, protože taková síť se prostě bezpečně spravovat nedá a až dojde k incidentu (jakože k němu v takovém prostředí dřív nebo později dojde), tak si všechno vyžere admin - nejen v podobě toho, že je za vola, ale i v podobě zbytečně vynaložené práce...

Člověk by se měl vyvarovat situací, kdy je činěn zodpovědným za něco, o čem nerozhoduje...

Možná víc než přemýšlet o honeypotu by pomohlo dát si kafe s člověkem, který má v daném prostředí autoritu (ředitel, majitel, manažer, místní demiurg a vysvětlit mu, že bez explicitní bezpečnostní politiky to nepůjde. Pokud se mu dají správné argumenty ("Za takovou síť neumím převzít odpovědnost. Až přijdete o ta data, na kterých se pracovalo poslední půlrok, nechoďte za mnou, já jsem vás varoval") a není úplně vymaštěnej, tak to pochopí a podpoří. Až je politika na světě, můžeš se už tvářit jenom jako její realizátor, což Ti značně usnadní pozici ("sorry, Franto, z vyšších míst bylo rozhodnuto, že antivir bude na každém počítači. Pokud máš námitky, mám Ti domluvit schůzku s panem ředitelem?")

Bonmot 2: standardní bezpečenostní postup je "allow, deny" - tj. co není povoleno, to je zakázáno

Sice Ti přidá práci definovat povolovací pravidla (Franta chce rádio, Pepa ICQ), ale budeš přesně vědět, co je povolená komunikace, a tu nepovolenou bude daleko snadnější detekovat. (tím netvrdím, že nepovolená nemůže používat povolený kanál...)

Míra aplikace tohodle pravidla záleží samozřejmě na tom, o jakou síť jde. ISP by třeba komunikaci ve svém zájmu moc omezovat neměl