Síťová bezpečnost a IPv6

Rax

Re:Síťová bezpečnost a IPv6
« Odpověď #15 kdy: 18. 09. 2012, 12:18:58 »
A kterej z Vás je ten pravej?  ::)
Mimochodem, registrace je od toho, aby ti nick nikdo nevzal, takže pokud se neregistruješ, je jasné, že ti to je jedno.


Re:Síťová bezpečnost a IPv6
« Odpověď #16 kdy: 18. 09. 2012, 14:01:53 »
Mimochodem, registrace je od toho, aby ti nick nikdo nevzal, takže pokud se neregistruješ, je jasné, že ti to je jedno.
>:(
Ano, v česku je třeba vždycky počítat s nejhorší variantou, že lidi jsou tu vyčurané, zákeřené sv... .

El

Re:Síťová bezpečnost a IPv6
« Odpověď #17 kdy: 18. 09. 2012, 14:54:57 »
Zato v USA a Rusku jsou jen hodní lidé a nic takového by se ti tam nemohlo stát.

j

Re:Síťová bezpečnost a IPv6
« Odpověď #18 kdy: 18. 09. 2012, 17:08:00 »
Doplním, že útok z vnější sítě na počítač za NATem (pokud nejsou protunelované porty) je poměrně složitá technika, kterou script kiddies obvykle nezvládají.

Rozdíl je cca následující:
Přímý útok na počítač s veřejnou adresou:
- pustím portscan z nějakého počítače, zjistím otevřené porty, AUTOMATICKY provedu jednoduchý port knocking na oblíbené číselné kombinace (funguje to sice zřídka, ale funguje, obvykle se blokuje SSH)
- sejmu bannery toho, co tam běží a porovnám to s těmi, které už mám
- pokud zjistím zranitelnost, můžu pokračovat

Počíták za NATem:
- musím nějak přesvědčit tu krabičku s NATem, že server chce komunikovat zrovna se mnou, což kolikrát není úplně jednoduché
- pokud se mi to povede udržet, sice se mi nepovede portscan, ale někdy se dá na určité služby dobouchat

Musím říct, že ale nejsem žádný úberhacker, možná že tu má někdo úber tool na přeskakování NATu.

Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty
Musím říct, že všechny zranitelnosti poctivě jako správný whitehat hlásím správcům těch strojů a že si nebuduju privátní zombie net.
Také mě to už nebere tolik co před pár lety.

Pokud krabka pouze NATuje a neni to zaroven (alespon trochu rozumne nastaveny) firewall, je kontakt stroje uvnitr naprosto trivialni operace. IPcko ziskam jednoduse - staci kdyz mi nouma prijde na web, a prohlizec ho vykeca, pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.

2Rax: Ne, NAT nechrani nic a proti nicemu.

Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost?

50 % uživatelů internetu v ČR nemá doma žádnou krabičku ani NAT ani firewall, prostě má UTP kabel z modemu do počítače nebo z routeru ve sklepě přímo do počítače a to už několik let a nic zvláštního se neděje.
ISP je tady od routování a směrování paketů. Bezpečnost internetu si každý účastník internetu musí řešit sám.
Souhlas, ale slusnej provider nabidne firewall jako sluzbu (za nejaky ty $$$).

Re:Síťová bezpečnost a IPv6
« Odpověď #19 kdy: 18. 09. 2012, 17:21:46 »
pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
A jak dosahnu toho, aby takovy paket prosel internetem?


DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Síťová bezpečnost a IPv6
« Odpověď #20 kdy: 18. 09. 2012, 17:33:10 »
pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
A jak dosahnu toho, aby takovy paket prosel internetem?

GRE tunelem na vnější adresu NAT krabičky?

Sten

Re:Síťová bezpečnost a IPv6
« Odpověď #21 kdy: 18. 09. 2012, 17:40:03 »
pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
A jak dosahnu toho, aby takovy paket prosel internetem?

Třeba přes Loose Source Routing. Ale je to trochu sázka do loterie, spousta routerů takové pakety blokuje

KapitánRUMFree

Re:Síťová bezpečnost a IPv6
« Odpověď #22 kdy: 18. 09. 2012, 18:05:53 »
GRE tunel ... to by bylo hodně na stříbrném podnosu ::)

Jinak není nutné nosit dříví do lesa: http://www.root.cz/clanky/proc-neni-nat-totez-co-firewall/

Re:Síťová bezpečnost a IPv6
« Odpověď #23 kdy: 18. 09. 2012, 20:55:34 »
GRE tunelem na vnější adresu NAT krabičky?
No to by ale krabička musela GRE pakety přijímat a rozumět jim, ne?

Třeba přes Loose Source Routing. Ale je to trochu sázka do loterie, spousta routerů takové pakety blokuje
Odhaduju, že počet se bude limitně blížit 100%...

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Síťová bezpečnost a IPv6
« Odpověď #24 kdy: 18. 09. 2012, 21:41:38 »
GRE tunelem na vnější adresu NAT krabičky?
No to by ale krabička musela GRE pakety přijímat a rozumět jim, ne?

A proč by neměla? GRE se používá v PPTP a odtud je už jen malilinkatý krůček.

Sten

Re:Síťová bezpečnost a IPv6
« Odpověď #25 kdy: 19. 09. 2012, 08:48:40 »
Odhaduju, že počet se bude limitně blížit 100%...

No to rozhodně ne, AFAIK to ve výchozím nastavení blokuje akorát Cisco/Linksys, velcí ISP a pár levných routerů, které nemají úplnou implementaci IPv4, takže netuší, co s takovými pakety udělat. Nakonec i Linux má ve výchozím nastavení source routing povolené.

firewall

Re:Síťová bezpečnost a IPv6
« Odpověď #26 kdy: 19. 09. 2012, 21:53:48 »
Odhaduju, že počet se bude limitně blížit 100%...

No to rozhodně ne, AFAIK to ve výchozím nastavení blokuje akorát Cisco/Linksys, velcí ISP a pár levných routerů, které nemají úplnou implementaci IPv4, takže netuší, co s takovými pakety udělat. Nakonec i Linux má ve výchozím nastavení source routing povolené.

Podle mých zkušeností je source routing blokovaný skoro všude (jen to co jste napsal: Cisco/Linksys + velcí ISP + pár levných routerů, to pokrývá většinu internetu). Co se týká Linuxu, jde o to co nazýváte výchozím nastavením. Například verze od Red Hatu mají po nainstalování v /etc/sysctl.conf uvedeno "net.ipv4.conf.default.accept_source_route = 0".

Lupex

Re:Síťová bezpečnost a IPv6
« Odpověď #27 kdy: 20. 09. 2012, 01:04:58 »
každej border router musí invalidní source zahodit.

Sten

Re:Síťová bezpečnost a IPv6
« Odpověď #28 kdy: 20. 09. 2012, 11:14:21 »
Podle mých zkušeností je source routing blokovaný skoro všude (jen to co jste napsal: Cisco/Linksys + velcí ISP + pár levných routerů, to pokrývá většinu internetu). Co se týká Linuxu, jde o to co nazýváte výchozím nastavením. Například verze od Red Hatu mají po nainstalování v /etc/sysctl.conf uvedeno "net.ipv4.conf.default.accept_source_route = 0".

Výchozí nastavení beru to, co je v kernelu. Red Hat je tedy zajímavá výjimka, protože třeba Debian a jeho odvozeniny to zapnutý mají (tu volbu v /etc/sysctl.conf mají zakomentovanou).

každej border router musí invalidní source zahodit.

To sice ano, ale se Source Routingem to nemá nic společného.

j

Re:Síťová bezpečnost a IPv6
« Odpověď #29 kdy: 25. 09. 2012, 09:21:37 »
každej border router musí invalidní source zahodit.
Routery toho musi .... vpohode mi prochazej pakety se zdrojovou IP z privatniho rozsahu pres 1/2 republiky ... a taky by to mel kazdej router cestou zahodit ...