Zjištění verze vzdáleného FreeBSD

Ivan

Zjištění verze vzdáleného FreeBSD
« kdy: 03. 08. 2012, 10:20:55 »
Dobrý den,

   nevyznám se v linuxu. Na firmě máme propojené pobočky pomocí FreeBSD VPN  je možné zjistit verze OS? S dodavatelem se nejde moc rozumě domluvit a nechce předat přístupy. Hovoří vtipně o svem know-how na routovani VPN. Vše je v našem vlastnictví a nevěřím tomu, že na ty stroje někdo šahal posledních 5 let.

Děkuji
« Poslední změna: 03. 08. 2012, 14:41:32 od Petr Krčmář »


Program

Re:FreeBSD
« Odpověď #1 kdy: 03. 08. 2012, 10:25:40 »
FreeBSD má nějakou vlastní VPN? Nejde o OpenVPN?

AlyoSHA

Re:FreeBSD
« Odpověď #2 kdy: 03. 08. 2012, 10:34:01 »
Ak admin ktory vase servre spravuje nie je zamestancom firmy a nema zmluvu o tom ze by vase servre mal spravovat a nechce odovzdat pristup na servre potom je to zalezitost pre policiu.  Je celkom bezne ze do firmy nainstaluje OS a rozne aplikacie niekto externy.  Potom je to o tom, ze bud sa uzavrie nejaka zmluva o externej sprave tychto technologii a tento clovek sa bude nadalej o technologiu starat, alebo proste odovzda pristup a dokumentaciu.  Postup vasho spravcu tak ako ho popisujete je neprofesionalny.  Svedci viac o tom, ze teritorialne instikty toho cloveka prevazuju nad profesionalnymi.

AlyoSHA

Re:FreeBSD
« Odpověď #3 kdy: 03. 08. 2012, 10:41:09 »
Ano FreeBSD je o OpenVPN.  Sam to pouzivam. Nie je to nic zlozite.  Know-how z tejto oblasti tvori iba zlomok toho co by admin/sietar mal ovladat.

Re:FreeBSD
« Odpověď #4 kdy: 03. 08. 2012, 10:50:23 »
S dodavatelem se nejde moc rozumě domluvit a nechce předat přístupy. Hovoří vtipně o svem know-how na routovani VPN. Vše je v našem vlastnictví a nevěřím tomu, že na ty stroje někdo šahal posledních 5 let.

Děkuji

Nějak mi v tom postu chybí otázka. V čem je teda problém? Nefunguje to a dodavatel to nechce spravit? Nebo na ty servery chcete něco nainstalovat a dodavatel to odmítá?

Proč s ním teda spolupráci neukončíte? Nějak nechápu pointu.

Na druhou stranu: pokud dodavatel ručí za funkčnost řešení a ve smlouvě máte, že ho bude spravovat na své náklady a zodpovědnost, nedivím se tomu, že nechce nikomu hesla předávat. Já to taky nedělám, nemůžu mít zodpovědnost za něco, v čem se může kdokoli bez mého vědomí šťourat.


Ivan

Re:FreeBSD
« Odpověď #5 kdy: 03. 08. 2012, 11:19:42 »
S dodavatelem se nejde moc rozumě domluvit a nechce předat přístupy. Hovoří vtipně o svem know-how na routovani VPN. Vše je v našem vlastnictví a nevěřím tomu, že na ty stroje někdo šahal posledních 5 let.

Děkuji

Nějak mi v tom postu chybí otázka. V čem je teda problém? Nefunguje to a dodavatel to nechce spravit? Nebo na ty servery chcete něco nainstalovat a dodavatel to odmítá?

Proč s ním teda spolupráci neukončíte? Nějak nechápu pointu.

Na druhou stranu: pokud dodavatel ručí za funkčnost řešení a ve smlouvě máte, že ho bude spravovat na své náklady a zodpovědnost, nedivím se tomu, že nechce nikomu hesla předávat. Já to taky nedělám, nemůžu mít zodpovědnost za něco, v čem se může kdokoli bez mého vědomí šťourat.


Jde o to že se o to dodavatel nestara. Smlouvy jsou trošku složitější zaležitost v tomto případě. Zaklinaci vety on se mi v tom bude hrabat neberu vpotaz na to jsou logy. Sice to "funguje" ale bez přístupů nemůžu předat tuto část jiné firmě a netuším co je kde nastveno - dokumentace 0. A neřešme proč to tak je. Spolupraci bych rád ukončil ale bez informací o nastavení je to trošku nemožné.

Program

Re:FreeBSD
« Odpověď #6 kdy: 03. 08. 2012, 11:23:52 »
Chápu Vaše rozhořčení, ale tady Vám asi nepomůže fórum, tohle si musíte domluvit s nadřízenými ve firmě.

Ivan

Re:FreeBSD
« Odpověď #7 kdy: 03. 08. 2012, 11:32:03 »
Chápu Vaše rozhořčení, ale tady Vám asi nepomůže fórum, tohle si musíte domluvit s nadřízenými ve firmě.

moje otazka znela docela jasne, zda lze zjistit verzi FreeBSD i bez techto pristupu. Potrebuju jen dalsi naboje k jednani.

Re:FreeBSD
« Odpověď #8 kdy: 03. 08. 2012, 11:42:41 »
ak nie ste spokojny s dodavatelom, a stroje su vo vasom vlastnictve, je moznost reverzneho inznierstva, alebo podla specifikacie vybudovat vsetko nanovo. ak sluzia tie stroje len na VPN, mozno by bolo vhodne aj uvazovat nie o linux. rieseni ale o routroch/vpn koncentratoch urcenych na tieto ucely.

k povodnej otazke:
ak nemate akykolvek ucet so s pristupom k shelu na  servri, tak verziu OS, mozte len HADAT roznymi nastrojmi (nmap) a domienkami,
pripadne nasilne ziskat rootovsky pristup.

Re:FreeBSD
« Odpověď #9 kdy: 03. 08. 2012, 11:43:05 »
Jde o to že se o to dodavatel nestara. Smlouvy jsou trošku složitější zaležitost v tomto případě. [...]  A neřešme proč to tak je. Spolupraci bych rád ukončil ale bez informací o nastavení je to trošku nemožné.
Zjevně je příčina v komunikaci se správcem. Pokud tuhle příčinu tady nechcete řešit, na co se vlastně konkrétně ptáte?

Jestli otázky zní
1. jak se dostat do FBSD bez hesla
2. kde je konfigurace VPN
tak odpovědi jsou:

1. stejně jako u Linuxu (stroj vypnout, nastartovat live systém a dělat si, co uznám za vhodné)

2. základní konfigurace všeho je v souboru /etc/rc.conf
Potom je ještě konkrétní konfigurace konkrétního softu. Takže je potřeba vědět, co chci vlastně zjistit (konfigurace čeho?). Pokud se jedná o konfiguraci OpenVPN, tak ta je standardně v adresáři /usr/local/etc/openvpn/ pokud není v /etc/rc.conf uvedeno jinak (položka openvpn_configfile).

Sice to "funguje" ale bez přístupů nemůžu předat tuto část jiné firmě a netuším co je kde nastveno - dokumentace 0.
To je zase otázka smlouvy. Pokud je možné podle smlouvy starého správce od systémů odstavit (vše, co tam je, patří firmě), tak je možný se s novým správcem domluvit i tak, že si systém přebere tak, jak leží a běží, a sám si udělá analýzu a správu převezme. Je ale otázka, jestli seženete někoho, kdo by na takové podmínky přistoupil (já bych na to přistoupil v případě, že by ostatní podmínky byly rozumné - hlavně že by se předpokládalo nějaké meziobdobí pro studium systému, ve kterém by byla větší shovívavost k (ne)funkčnosti řešení).

Zaklinaci vety on se mi v tom bude hrabat neberu vpotaz na to jsou logy.
Logy jsou v tomhle případě na dvě věci. Pokud dám někomu root přístup, může se systémem udělat cokoli, včetně zametení stop. Za takové řešení pak prostě nikdo soudný nemůže převzít zodpovědnost.

Spíš tuhle situaci řeší rozumně zrealizované IDSko. To mimochodem řeší i ten předchozí problém - kdybych měl já takový systém převzít, první, co udělám, bude, že ho pomocí IDSka porovnám s čistým systémem stejné verze a hned mám základní přehled o tom, co bývalý správce nastavoval a jak.

Pokud byste měl zájem o konkrétní řešení téhle situace a nechcete tady psát detaily, můžete se mi ozvat na kterýkoli z kontaktů na http://www.gosw.cz/kontakt.html - správou FreeBSD serverů trávím většinu času.

Program

Re:FreeBSD
« Odpověď #10 kdy: 03. 08. 2012, 11:56:20 »
ak nie ste spokojny s dodavatelom, a stroje su vo vasom vlastnictve, je moznost reverzneho inznierstva, alebo podla specifikacie vybudovat vsetko nanovo. ak sluzia tie stroje len na VPN, mozno by bolo vhodne aj uvazovat nie o linux. rieseni ale o routroch/vpn koncentratoch urcenych na tieto ucely.

k povodnej otazke:
ak nemate akykolvek ucet so s pristupom k shelu na  servri, tak verziu OS, mozte len HADAT roznymi nastrojmi (nmap) a domienkami,
pripadne nasilne ziskat rootovsky pristup.

Tak zkuste nmap -O. Teď nemám po ruce FreeBSD, ale tady byste měl začít.

Program

Re:FreeBSD
« Odpověď #11 kdy: 03. 08. 2012, 11:57:16 »
Omlouvám se, klikl jsem na špatnou citaci...

Re:FreeBSD
« Odpověď #12 kdy: 03. 08. 2012, 12:00:59 »
moje otazka znela docela jasne, zda lze zjistit verzi FreeBSD i bez techto pristupu. Potrebuju jen dalsi naboje k jednani.

Aha, tak to se omlouvám, já jsem tu větu "je možné zjistit verze OS." bral - kvůli tečce - za konstatování :)

Ke zjištění verze systému stačí jakýkoli účet (nemusí být administrátorský) na daném systému. Jak už psal mslebodnik, jde to i jinak, ale u takových způsobů je to spíš otázka pravděpodobnosti než jistoty. Některé způsoby můžou dávat poměrně slušnou jistotu (např. bannery při připojení k některým službám).

Samotná tahle informace mi ale přijde celkem irelevantní - např. že je systém ve staré verzi ještě samo o sobě nic nevypovídá o kvalitě práce administrátora, protože u FreeBSD je poměrně jednoduchý zjistit množinu zranitelností, kterým daný systém v dané verzi podléhá - a potom je třeba zhodnotit jako pro danou situaci irelevantní a upřednostnit nevrtání do fungujícího systému před zbytečným upgradem na čerstvou verzi. U FBSD je tohle trochu jinak než u Linuxu nebo Windows.

Tak zkuste nmap -O. Teď nemám po ruce FreeBSD, ale tady byste měl začít.
Podstatně jednodušší a spolehlivější jsou ty zmíněné bannery.

Re:Zjištění verze vzdáleného FreeBSD
« Odpověď #13 kdy: 03. 08. 2012, 20:11:31 »
Citace
Aha, tak to se omlouvám, já jsem tu větu "je možné zjistit verze OS." bral - kvůli tečce - za konstatování

Jestli on nemyslel uname -a  ;D  Ne, vazne, docela me zaujala tato veta:

Citace
u FreeBSD je poměrně jednoduchý zjistit množinu zranitelností
  Myslis jako z vnejsku?  Ja se stydim, ale znam z tech BFU-klikatelnych jen Nessus a ten je s*cka a jeste ciste komercni. 
Spravne zabezpeceene  BSD by melo stopy svoji identifikace mazat a to tak, ze by to nmap nemel odhalit ani analyzou paketu. je tak?  ??? 

Re:Zjištění verze vzdáleného FreeBSD
« Odpověď #14 kdy: 03. 08. 2012, 21:54:39 »
Myslis jako z vnejsku?
Ne. Chtěl jsem tím říct, že když je někde stará verze něčeho, není to nutně kompro na admina :)