Vlákno názorů k článku Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky od vxcvcvcx - Na celé věci je hlavně zarážející, že ty...
-
Petr M (neregistrovaný)
Tak znovu:
1. Dřív se dával jedné instituci rozsah třeba 2^12 adres, ty se nastavily na routeru bez NATu. NAT přišel ve chvíli, kdy nebylo dost adres. A u těch starších firem (univerzity, korporáty,...) si dodnečka na NAT nehrají. A cokoliv se v takové instituci připojí na net, má v té chvíli přes DHCP veřejnou IP. Pak už je to jenom o blokaci portů na firewallu (v zařízení nebo na hranici sítě).
2. NAT není bezpečnostní prvek, existuje hodně způsobů, jak se přes něj dostat. Kdyby to nešlo, tak by ses nedostal ani zevnitř ven. Stačí třeba počkat, až si někdo zevnitř něco vyžádá a předat jménem cíle paket s dotazem, který pošle odpověď jinýmu zařízení v síti a podobně...
3. Router taky nechrání, ten jenom bere pakety a posílá je nejkratší cestou k příjemci. Je to jeho práce.
4. Firewall je pro matly sprostý slovo, ven se dostanou i bez něj a nic cennýho přece v síti nemají. -
Petr M (neregistrovaný)
Ad 2) Stačí pochopit princip firewallu. Zařízení v LAN pošle požadavek ven, NAT si zapamatuje, kdo komu požadavek poslal (IP, port) a pošle paket svým jménem (WLAN IP). Když dojde paket, podívá se, kdo s danou IP a daným portem venku komunikuje a tomu paket přehodí 1:1. Hlavička paketu není šifrovaná ani podepsaná a kdokoliv může cokoliv podvrhnout nebo odposlechnout, kdo se s kým baví. Takže bezpečnostní efekt je jenom v tom, že nevím konkrétní IP adresu počítače, ale nijak nebrání tomu, abych na něho poslal cokoliv.
Ad 3) Standardní internet. Router (jako logický prvek sítě, ne fyzická krabička) nepřekládá adresy a nevrtá do dat. Přijde paket, podívá se do tabulek, kterým směrem ho poslat nejkratší cestou k příjemci a přepošle ho na patřičnou linku. To, že do fyzickýho (SOHO) routeru přidali ještě NAT, firewall, DHCP server, DNS resolver a kdoví co ještě, na věci nic nemění. V návrhu sítě má router roli předávání paketů z jedné sítě do druhé.
V obou případech je potřeba firewall, který má pravidla, kdo, s kým, na jakým portu a jakým protokolem může nebo nesmí komunikovat. A právě na úrovni firewallu je třeba zamknout příslušný porty, používaný např. pro tisk, sambu,... Resp.zamknout všechno krom toho, co se cíleně používá.
Chtělo by to nastudovat základy sítí.
-
"jarda mira" nejspis pouziva NAT, ktery ma poctivy connection tracking, a nepusti dovnitr nic, co neni odpoved na neco zevnitr. Takovy NAT efektivne supluje firewall, za predpokladu, ze nemuze prijit utok zevnitr (to je chaby predpoklad, ale budiz), a vsechny spojeni navazovane zevnitr jsou opravnene. S tim normalni firewall nemuze vymyslet nic lepsiho. Utok na navazane spojeni je tu bez ohledu na NAT nebo firewall - to spojeni musi byt na nejake urovni zabezpecene (protokolem a/nebo sifrovanim). Idealni je nastavit takovy NAT-router tak, aby neroutoval zadnou rfc-privatni adresu do WANu.
A otevrene porty pro tisk do teto kategorie celkem spadaji. Vyjimkou muze byt iframe utok, pres prostrednika (browser) ve vnitrni siti. To ale zase zadny firewall nechyti.
Ano NAT neni firewall, ale dobre nastaveny NAT udela 95% prace firewallu. Tech zbylych 5% si musi administrator ohlidat sam a musi se rozmyslet co a jak bude filtrovat, protoze i ten firewall se musi spravne nastavit. -
j (neregistrovaný)
2ebik: Jako vzdy zcela mimo ... NAT nic nesupluje protoze nemuze, neni to a nikdy nebyl zadnej prvek bezpecnosti a jen totalni trotl neco takovyho tvrdi. Znova, co myslis ze se stena kdyz ti na ten tvuj uzasnej NAT dorazi paket s dst 192.168 ??? No DORUCI HO. Zcela VZDY ho doruci. Protoze tu sit ZNA a protoze je to predevsim ROUTER.
Jestli tomu neco zabranit muze je to vyhradne a pouze FIREWALL. Pricemz firewall BEZ NATu je daleko spolehlivejsi, protoze je zcela jednoznacny na ktery strane kteryho portu sou jaky site. S NATem je treba neustale resit, v jaky fazi routovani bude mit paket jaky IPcko, coz vede k tomu, ze 90% routokrabek (ktery confej lidi jakoTY co si myslej ze NAT je vyhra) neni zabezpecenych vubec nijak.
-
Chci tim predevsim rict, ze je o nekolik radu pravdepodobnejsi chytit vir nebo otevrit malware, nebo nechat router se starym nebezpecnym firmwarem, nez byt cilem utoku, ktery projde skrz NAT. Kdyz si to spoctu, tak pokud investuju stovku do firewallu v bezne domacnosti s NATem a IPv4 only, tak bych mel investovat desetitisice do zabezpeceni toho co jsem vyjmenoval pred tim. Potom bude skoda vynasobena rizikem na stejne urovni.
-
j (neregistrovaný)
2ebik: Vis hosiku, maly deti by mely mit na internet vstup povolenej jen v pritomnozti dospelych. A rozhodne by nemeli ani nahlizet do diskusi o vecech, o kterych nemaj ani paru.
Jedna z mnoha moznosti https://en.wikipedia.org/wiki/Source_routing
-
Rad bych vedel kolik takovych technologii muj ISP podporuje, kdyz mi neni ochotny dodat ani IPv6. A rad bych vedel, jestli je tolik cilu, aby to bylo ekonomicky zajimave takovou technologii pro utocnika exploitnout. Porad si stojim za tim, ze 95% utoku NATem neprojde, proste proto, ze je na co utocit co za NATem neni.
-
Petr M (neregistrovaný)
No to snad ne...
Pokud chci oddělit sítě, hodím tam router. protože ten jediný může říct, že paket nepatří do lokální sítě, ale je to komunikace se severem v DMZ, nebo požadavek na něco ze sítě mimo barák. Nic jinýho, než routování, od toho čekat nemůžu.
Pokud chci za jednu (veřejnou) IP adresu schovat n dalších, hodím tam NAT, který se bude z pohledu venkovních strojů chovat jako jeden počítač, který si hraje na všechny schovaný za ním. Nic míň, ani nic víc, od toho čekat nemůžu.
Pokud chci filtrovat komunikaci, musí to jít firewallem, protže NATu i routeru je jedno, co tama jde.A je jedno, jestli jsou ty zařízení v podobě SW, extra fyzický škatule, nebo jedna bedna.
-
Tak - je to skoda, ze tu nepadaji argumenty, ale drsny vyrazy.
Kdyby prece nekdo chtel dokazat, ze mi dostane pres router do lokalni site paket, rad bych to vyzkousel. Postavim si lokalni sit 192.168.0.1/24 pod ni si dam router (treba od cisca?) s podsiti 192.168.5.1, tam si obsadim nejakou adresu - 192.168.5.100 a na portu 5678 budu cekat s nc, co prijde.
Druha moznost by byla s maskaradou. Z verejnyho rozsahu maskaruju do 192.168.1.5, kdyz me naucite jak oslovit zvenku ten vnitrni, super, budu o vas vypravet vnoucatum.
Podvedome citim, ze kdyz se tu neobjevi navod k vyzkouseni, tak to asi nebude tak vazny.
-
Podvedome citim, ze kdyz se tu neobjevi navod k vyzkouseni, tak to asi nebude tak vazny.
Aniž bych se chtěl vlamovat do dobře rozjetého flame, tak na toto pozor.
Tohle je stejná chyba, kterou dělají mnozí, když jim doporučují nějaké lepší zabezpečení. Říkají ok: tak mi tu (například) sha louskni, když říkáš, že se nemá používat. Ok, já to možná nedokážu, možná se mi nechce, možná na to nemám hw apod. ale o tom to přece není.
Je to o tom, že někdo na světě to dokáže. A bezpečnost se nestaví na tom, jestli to nějaký blbec nedokáže, ale na tom, že to nikdo nedokáže.
Takže chtít po někom v diskusi na rootu návod na vyzkoušení a když se neobjeví tak prohlásit, že to není tak vážné je, ať se na mě nikdo nezlobí, dost blbý přístup.
-
No ono to i s tou SHA1 neni tak horke. Zalezi na co ji pouzivas. Na praci s certifikaty je to uz trochu mimo, ale na hashovani obsahu souboru bohate postaci. To same je to s tim firewallem a s NATem. Firemni sit bych daval vzdy za firewall. A tam kde to je mozne a akceptovatelne (i financne) tak za MITM http(s) proxy, ktera bude scanovat pruchozi trafic na ruzny malware. Pro domaci sit bych ale volil router s maskaradou, dostatecne zabezpeceny aby mi ho neprekonfiguroval i nekdo komu dam heslo na wifi. A zabezpecene pocitace (typicky notebooky), protoze stejne musi byt zabezpecene, kdyz je pripojuji kamkoliv. Pak maskarada bohate staci na to aby mi nevybihal load cpu na odrazeni internetovych utoku.
-
Na praci s certifikaty je to uz trochu mimo
Kde "trochu mimo" znamená, že např. v EU se nesmí (ve státní správně) používat od 2010. A stále se objevují lidé, kteří zde v diskusích brečí, že jim v roce 2016 prohlížeče "bez varování" zarazili používat ssl crt s sha podpisem.
na hashovani obsahu souboru bohate postaci
To záleží v jakém prostředí. 160b je už dneska slabá kryptografická síla, takže by se neměla používat na bezpečností věci. Pokud shasum někdo používá pro kontrolu přenosu souboru po zabezpečené síti, tak je to asi dobrý, ale i tak bych doporučoval si do TODO zapsat úkol přejít na něco lepšího.
-
Rozumim argumentaci. S tim sha to je malinko prehnane prirovnani, ale ano, ilustruje stav. Tady - aniz bych zamyslel nejaky flame - jsem ziskal pocit, ze neni problem posilat pakety dovnitr velmi jednoduchym zpusobem.
Tedy, pokud je tu takova zasadni slabina, rad se o ni dozvim neco vic, ne proto abych provokoval, ale abych ji pochopil. Taky si muzu myslet, ze je to jen takovy hoax....(do doby, nez mi tam nekdo vleze)
Priklad: kdyz je bezpecnosti zprava, davaji tam casto proof of concept a kazdy (nebo-li ja) pochopi, jak je asi obtizne slabinu pouzit.
-
jsem ziskal pocit, ze neni problem posilat pakety dovnitr velmi jednoduchym zpusobem
Jasný. No tyhle tvrzení (a zrovna u "j" je potřeba je trochu uhladit a očesat od jeho slovníku), jsou upozorněním na to, že nat není bezpečností bariéra. Což ovšem neznamená, že se tam každý dostane, protože v praxi je tam stejně i packet filter. Jenže admin by měl znát rozdíl mezi natem a packet filterem. Takže ano, v praxi ty útoky budou neúčinné nikoliv proto, že nat "stačí", ale proto, že společně s tím natem je tam i filter. A to je podstatný rozdíl.
Taky si muzu myslet, ze je to jen takovy hoax
No upřímně řečeno, i kdyby to byl hoax a ve svém důsledku by vedl k lepšímu zabezpečení, tak je to v podstatě dobře.
kdyz je bezpecnosti zprava, davaji tam casto proof of concept a kazdy (nebo-li ja) pochopi, jak je asi obtizne slabinu pouzit.
Já ne. Pokud si někde (tzn od nějakého kryptologa) přečtu, že sha1 nebrat, tak pro mě prostě skončila. Tečka. Samozřejmě jsou legitimní věci, na které má použití, ale proč bych to měl dělat, když i na toto použití můžu použít funkce, které jsou ještě kryptograficky bezpečné?
Toto relativizování vedlo k tomu, že se stále používá md5. md5 je vadná, byla (1996) vadná už před finálním útokem (2004), a ta relativizace "na toto je ještě dobrá, to můžeme použít", vedla k tomu, že se používá dodnes. I kdyby ta funkce nebyla prolomená, tak dneska už je stejně slabá. Stejně jako je slabá sha1 (160b je prostě málo). No a dodnes se můžeme setkávat s články, které md5 doporučují pro hash hesla. Tímto relativizujícím stylem se ji nikdy nezbavíme.
(Tímto současně reaguju i na 9. 2. 2017 11:15 Autor: (Ebík Ebíkovič))
-
To relativizování by mělo být ve skutečnosti správné posouzení vhodnosti takového řešení. Bohužel "myslet bolí" a většina raději něco přejme bez přemýšlení. Když té většině budeme podsouvat správná řešení v některých zvolených oblastech, tak udělá chybu hned vedle. Já osobně md5 (a sha1) používám jako hash obsahu, kde mi "útok" nevadí, nebo je potřeba řešit na jiné úrovni. A to proto, že v knihovně kterou na to používám 1. nemám složitější hash 2. nechci aby výpočet příliš zatížil procesor.
-
Takže ano, v praxi ty útoky budou neúčinné nikoliv proto, že nat "stačí", ale proto, že společně s tím natem je tam i filter.
A o to mi jde. Jak to probiha v typickem nasazeni.
i kdyby to byl hoax a ve svém důsledku by vedl k lepšímu zabezpečení, tak je to v podstatě dobře.
Nesouhlas. Manipulace muze sice mit pozitivni nasledky, ale dochazi k rozpadu duvery. To je ale offtopic.
přečtu, že sha1 nebrat, tak pro mě prostě skončila
No a me to nestaci. Castecne je to svobodna volba, castecne zpusob uvazovani. Posledne tu nekdo brojil za otevreni root@ssh, protoze neudelat to je nejvetsi bezpecnostni chyba. Rad se vzdy dozvim vic, nebudu plnit jen neci (znacne neurvale) pokyny.
Zbytek je uz tak specificky sha1 a md5, ze se to neda jako priklad pouzit. Ukazte mi, jak se dostat za router a ja si udelam obrazek, co se s tim da delat. Protoze dalsi level je za routerem neco oskenovat a hledat slabiny.
