Hlavní navigace

Vlákno názorů k článku Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky od vxcvcvcx - Na celé věci je hlavně zarážející, že ty...

  • Článek je starý, nové názory již nelze přidávat.
  • 7. 2. 2017 19:35

    vxcvcvcx (neregistrovaný) 213.226.252.---

    Na celé věci je hlavně zarážející, že ty tiskárny jsou vystavené přímo v internetu. Proč proboha někdo na routeru proroutuje porty přímo na tiskárnu???

  • 7. 2. 2017 22:03

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Viz vejs ... bud pouziva verejny IPcka, coz neni nic spatnyho, nebo pouziva NAT a myslis si jako spousta blbu i zde, ze tim padem pro venkovni svet neexistuje. Si jako vazne myslis, ze na to je treba neco extra nastavovat?

  • 8. 2. 2017 0:21

    Ndjdbdh (neregistrovaný) 213.226.252.---

    Ani jeden z tvejch argumentu nedava smysl.

    Proc by byla tiskarna primo na verejne adrese? A jak se utocnik dostane zvenku prez nat??

  • 8. 2. 2017 9:31

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Tak znovu:

    1. Dřív se dával jedné instituci rozsah třeba 2^12 adres, ty se nastavily na routeru bez NATu. NAT přišel ve chvíli, kdy nebylo dost adres. A u těch starších firem (univerzity, korporáty,...) si dodnečka na NAT nehrají. A cokoliv se v takové instituci připojí na net, má v té chvíli přes DHCP veřejnou IP. Pak už je to jenom o blokaci portů na firewallu (v zařízení nebo na hranici sítě).
    2. NAT není bezpečnostní prvek, existuje hodně způsobů, jak se přes něj dostat. Kdyby to nešlo, tak by ses nedostal ani zevnitř ven. Stačí třeba počkat, až si někdo zevnitř něco vyžádá a předat jménem cíle paket s dotazem, který pošle odpověď jinýmu zařízení v síti a podobně...
    3. Router taky nechrání, ten jenom bere pakety a posílá je nejkratší cestou k příjemci. Je to jeho práce.
    4. Firewall je pro matly sprostý slovo, ven se dostanou i bez něj a nic cennýho přece v síti nemají.

  • 8. 2. 2017 9:37

    jaromrax

    Za sebe:
    1. to jiste ano
    2. je nejaky priklad?
    3. stejna otazka - je nejaky priklad jak se dostat zvenku pres router na vnitrni IP?

    Kdybych videl nejaky funkcni priklad (zejmena ke 3.), tak by to byl pro me duvod k zamysleni. To bych byl vdecny. Do te doby...

  • 8. 2. 2017 10:14

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Ad 2) Stačí pochopit princip firewallu. Zařízení v LAN pošle požadavek ven, NAT si zapamatuje, kdo komu požadavek poslal (IP, port) a pošle paket svým jménem (WLAN IP). Když dojde paket, podívá se, kdo s danou IP a daným portem venku komunikuje a tomu paket přehodí 1:1. Hlavička paketu není šifrovaná ani podepsaná a kdokoliv může cokoliv podvrhnout nebo odposlechnout, kdo se s kým baví. Takže bezpečnostní efekt je jenom v tom, že nevím konkrétní IP adresu počítače, ale nijak nebrání tomu, abych na něho poslal cokoliv.

    Ad 3) Standardní internet. Router (jako logický prvek sítě, ne fyzická krabička) nepřekládá adresy a nevrtá do dat. Přijde paket, podívá se do tabulek, kterým směrem ho poslat nejkratší cestou k příjemci a přepošle ho na patřičnou linku. To, že do fyzickýho (SOHO) routeru přidali ještě NAT, firewall, DHCP server, DNS resolver a kdoví co ještě, na věci nic nemění. V návrhu sítě má router roli předávání paketů z jedné sítě do druhé.

    V obou případech je potřeba firewall, který má pravidla, kdo, s kým, na jakým portu a jakým protokolem může nebo nesmí komunikovat. A právě na úrovni firewallu je třeba zamknout příslušný porty, používaný např. pro tisk, sambu,... Resp.zamknout všechno krom toho, co se cíleně používá.

    Chtělo by to nastudovat základy sítí.

  • 8. 2. 2017 12:15

    ebik

    "jarda mira" nejspis pouziva NAT, ktery ma poctivy connection tracking, a nepusti dovnitr nic, co neni odpoved na neco zevnitr. Takovy NAT efektivne supluje firewall, za predpokladu, ze nemuze prijit utok zevnitr (to je chaby predpoklad, ale budiz), a vsechny spojeni navazovane zevnitr jsou opravnene. S tim normalni firewall nemuze vymyslet nic lepsiho. Utok na navazane spojeni je tu bez ohledu na NAT nebo firewall - to spojeni musi byt na nejake urovni zabezpecene (protokolem a/nebo sifrovanim). Idealni je nastavit takovy NAT-router tak, aby neroutoval zadnou rfc-privatni adresu do WANu.

    A otevrene porty pro tisk do teto kategorie celkem spadaji. Vyjimkou muze byt iframe utok, pres prostrednika (browser) ve vnitrni siti. To ale zase zadny firewall nechyti.
    Ano NAT neni firewall, ale dobre nastaveny NAT udela 95% prace firewallu. Tech zbylych 5% si musi administrator ohlidat sam a musi se rozmyslet co a jak bude filtrovat, protoze i ten firewall se musi spravne nastavit.

  • 8. 2. 2017 12:17

    ebik

    Pardon, vymente NAT za NAT-MASQUERADE (v terminologii linuxu). O NATech 1:1 a podobnych vymyslech tu nehovorim, protoze nejsou predmetem diskuze.

  • 8. 2. 2017 13:54

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    2ebik: Jako vzdy zcela mimo ... NAT nic nesupluje protoze nemuze, neni to a nikdy nebyl zadnej prvek bezpecnosti a jen totalni trotl neco takovyho tvrdi. Znova, co myslis ze se stena kdyz ti na ten tvuj uzasnej NAT dorazi paket s dst 192.168 ??? No DORUCI HO. Zcela VZDY ho doruci. Protoze tu sit ZNA a protoze je to predevsim ROUTER.

    Jestli tomu neco zabranit muze je to vyhradne a pouze FIREWALL. Pricemz firewall BEZ NATu je daleko spolehlivejsi, protoze je zcela jednoznacny na ktery strane kteryho portu sou jaky site. S NATem je treba neustale resit, v jaky fazi routovani bude mit paket jaky IPcko, coz vede k tomu, ze 90% routokrabek (ktery confej lidi jakoTY co si myslej ze NAT je vyhra) neni zabezpecenych vubec nijak.

  • 8. 2. 2017 17:26

    ebik

    Hmm, a jak se tam asi takovy packet dostane? To na mne bude utocit muj ISP? Vsechny routery meho ISP budou mit nastaveny routovani takoveho packetu jinam.

  • 8. 2. 2017 17:42

    ebik

    Chci tim predevsim rict, ze je o nekolik radu pravdepodobnejsi chytit vir nebo otevrit malware, nebo nechat router se starym nebezpecnym firmwarem, nez byt cilem utoku, ktery projde skrz NAT. Kdyz si to spoctu, tak pokud investuju stovku do firewallu v bezne domacnosti s NATem a IPv4 only, tak bych mel investovat desetitisice do zabezpeceni toho co jsem vyjmenoval pred tim. Potom bude skoda vynasobena rizikem na stejne urovni.

  • 8. 2. 2017 18:39

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    2ebik: Vis hosiku, maly deti by mely mit na internet vstup povolenej jen v pritomnozti dospelych. A rozhodne by nemeli ani nahlizet do diskusi o vecech, o kterych nemaj ani paru.

    Jedna z mnoha moznosti https://en.wikipedia.org/wiki/Source_routing

  • 9. 2. 2017 11:07

    ebik

    Rad bych vedel kolik takovych technologii muj ISP podporuje, kdyz mi neni ochotny dodat ani IPv6. A rad bych vedel, jestli je tolik cilu, aby to bylo ekonomicky zajimave takovou technologii pro utocnika exploitnout. Porad si stojim za tim, ze 95% utoku NATem neprojde, proste proto, ze je na co utocit co za NATem neni.

  • 8. 2. 2017 14:21

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    No to snad ne...

    Pokud chci oddělit sítě, hodím tam router. protože ten jediný může říct, že paket nepatří do lokální sítě, ale je to komunikace se severem v DMZ, nebo požadavek na něco ze sítě mimo barák. Nic jinýho, než routování, od toho čekat nemůžu.
    Pokud chci za jednu (veřejnou) IP adresu schovat n dalších, hodím tam NAT, který se bude z pohledu venkovních strojů chovat jako jeden počítač, který si hraje na všechny schovaný za ním. Nic míň, ani nic víc, od toho čekat nemůžu.
    Pokud chci filtrovat komunikaci, musí to jít firewallem, protže NATu i routeru je jedno, co tama jde.

    A je jedno, jestli jsou ty zařízení v podobě SW, extra fyzický škatule, nebo jedna bedna.

  • 9. 2. 2017 10:25

    jaromrax

    Tak - je to skoda, ze tu nepadaji argumenty, ale drsny vyrazy.

    Kdyby prece nekdo chtel dokazat, ze mi dostane pres router do lokalni site paket, rad bych to vyzkousel. Postavim si lokalni sit 192.168.0.1/24 pod ni si dam router (treba od cisca?) s podsiti 192.168.5.1, tam si obsadim nejakou adresu - 192.168.5.100 a na portu 5678 budu cekat s nc, co prijde.

    Druha moznost by byla s maskaradou. Z verejnyho rozsahu maskaruju do 192.168.1.5, kdyz me naucite jak oslovit zvenku ten vnitrni, super, budu o vas vypravet vnoucatum.

    Podvedome citim, ze kdyz se tu neobjevi navod k vyzkouseni, tak to asi nebude tak vazny.

  • 9. 2. 2017 10:35

    Heron

    Podvedome citim, ze kdyz se tu neobjevi navod k vyzkouseni, tak to asi nebude tak vazny.

    Aniž bych se chtěl vlamovat do dobře rozjetého flame, tak na toto pozor.

    Tohle je stejná chyba, kterou dělají mnozí, když jim doporučují nějaké lepší zabezpečení. Říkají ok: tak mi tu (například) sha louskni, když říkáš, že se nemá používat. Ok, já to možná nedokážu, možná se mi nechce, možná na to nemám hw apod. ale o tom to přece není.

    Je to o tom, že někdo na světě to dokáže. A bezpečnost se nestaví na tom, jestli to nějaký blbec nedokáže, ale na tom, že to nikdo nedokáže.

    Takže chtít po někom v diskusi na rootu návod na vyzkoušení a když se neobjeví tak prohlásit, že to není tak vážné je, ať se na mě nikdo nezlobí, dost blbý přístup.

  • 9. 2. 2017 11:15

    ebik

    No ono to i s tou SHA1 neni tak horke. Zalezi na co ji pouzivas. Na praci s certifikaty je to uz trochu mimo, ale na hashovani obsahu souboru bohate postaci. To same je to s tim firewallem a s NATem. Firemni sit bych daval vzdy za firewall. A tam kde to je mozne a akceptovatelne (i financne) tak za MITM http(s) proxy, ktera bude scanovat pruchozi trafic na ruzny malware. Pro domaci sit bych ale volil router s maskaradou, dostatecne zabezpeceny aby mi ho neprekonfiguroval i nekdo komu dam heslo na wifi. A zabezpecene pocitace (typicky notebooky), protoze stejne musi byt zabezpecene, kdyz je pripojuji kamkoliv. Pak maskarada bohate staci na to aby mi nevybihal load cpu na odrazeni internetovych utoku.

  • 9. 2. 2017 11:41

    Heron

    Na praci s certifikaty je to uz trochu mimo

    Kde "trochu mimo" znamená, že např. v EU se nesmí (ve státní správně) používat od 2010. A stále se objevují lidé, kteří zde v diskusích brečí, že jim v roce 2016 prohlížeče "bez varování" zarazili používat ssl crt s sha podpisem.

    na hashovani obsahu souboru bohate postaci

    To záleží v jakém prostředí. 160b je už dneska slabá kryptografická síla, takže by se neměla používat na bezpečností věci. Pokud shasum někdo používá pro kontrolu přenosu souboru po zabezpečené síti, tak je to asi dobrý, ale i tak bych doporučoval si do TODO zapsat úkol přejít na něco lepšího.

  • 9. 2. 2017 11:16

    jaromrax

    Rozumim argumentaci. S tim sha to je malinko prehnane prirovnani, ale ano, ilustruje stav. Tady - aniz bych zamyslel nejaky flame - jsem ziskal pocit, ze neni problem posilat pakety dovnitr velmi jednoduchym zpusobem.

    Tedy, pokud je tu takova zasadni slabina, rad se o ni dozvim neco vic, ne proto abych provokoval, ale abych ji pochopil. Taky si muzu myslet, ze je to jen takovy hoax....(do doby, nez mi tam nekdo vleze)

    Priklad: kdyz je bezpecnosti zprava, davaji tam casto proof of concept a kazdy (nebo-li ja) pochopi, jak je asi obtizne slabinu pouzit.

  • 9. 2. 2017 11:36

    Heron

    jsem ziskal pocit, ze neni problem posilat pakety dovnitr velmi jednoduchym zpusobem

    Jasný. No tyhle tvrzení (a zrovna u "j" je potřeba je trochu uhladit a očesat od jeho slovníku), jsou upozorněním na to, že nat není bezpečností bariéra. Což ovšem neznamená, že se tam každý dostane, protože v praxi je tam stejně i packet filter. Jenže admin by měl znát rozdíl mezi natem a packet filterem. Takže ano, v praxi ty útoky budou neúčinné nikoliv proto, že nat "stačí", ale proto, že společně s tím natem je tam i filter. A to je podstatný rozdíl.

    Taky si muzu myslet, ze je to jen takovy hoax

    No upřímně řečeno, i kdyby to byl hoax a ve svém důsledku by vedl k lepšímu zabezpečení, tak je to v podstatě dobře.

    kdyz je bezpecnosti zprava, davaji tam casto proof of concept a kazdy (nebo-li ja) pochopi, jak je asi obtizne slabinu pouzit.

    Já ne. Pokud si někde (tzn od nějakého kryptologa) přečtu, že sha1 nebrat, tak pro mě prostě skončila. Tečka. Samozřejmě jsou legitimní věci, na které má použití, ale proč bych to měl dělat, když i na toto použití můžu použít funkce, které jsou ještě kryptograficky bezpečné?

    Toto relativizování vedlo k tomu, že se stále používá md5. md5 je vadná, byla (1996) vadná už před finálním útokem (2004), a ta relativizace "na toto je ještě dobrá, to můžeme použít", vedla k tomu, že se používá dodnes. I kdyby ta funkce nebyla prolomená, tak dneska už je stejně slabá. Stejně jako je slabá sha1 (160b je prostě málo). No a dodnes se můžeme setkávat s články, které md5 doporučují pro hash hesla. Tímto relativizujícím stylem se ji nikdy nezbavíme.

    (Tímto současně reaguju i na 9. 2. 2017 11:15 Autor: (Ebík Ebíkovič))

  • 9. 2. 2017 12:28

    ebik

    To relativizování by mělo být ve skutečnosti správné posouzení vhodnosti takového řešení. Bohužel "myslet bolí" a většina raději něco přejme bez přemýšlení. Když té většině budeme podsouvat správná řešení v některých zvolených oblastech, tak udělá chybu hned vedle. Já osobně md5 (a sha1) používám jako hash obsahu, kde mi "útok" nevadí, nebo je potřeba řešit na jiné úrovni. A to proto, že v knihovně kterou na to používám 1. nemám složitější hash 2. nechci aby výpočet příliš zatížil procesor.

  • 9. 2. 2017 13:09

    jaromrax

    Takže ano, v praxi ty útoky budou neúčinné nikoliv proto, že nat "stačí", ale proto, že společně s tím natem je tam i filter.

    A o to mi jde. Jak to probiha v typickem nasazeni.


    i kdyby to byl hoax a ve svém důsledku by vedl k lepšímu zabezpečení, tak je to v podstatě dobře.

    Nesouhlas. Manipulace muze sice mit pozitivni nasledky, ale dochazi k rozpadu duvery. To je ale offtopic.

    přečtu, že sha1 nebrat, tak pro mě prostě skončila

    No a me to nestaci. Castecne je to svobodna volba, castecne zpusob uvazovani. Posledne tu nekdo brojil za otevreni root@ssh, protoze neudelat to je nejvetsi bezpecnostni chyba. Rad se vzdy dozvim vic, nebudu plnit jen neci (znacne neurvale) pokyny.

    Zbytek je uz tak specificky sha1 a md5, ze se to neda jako priklad pouzit. Ukazte mi, jak se dostat za router a ja si udelam obrazek, co se s tim da delat. Protoze dalsi level je za routerem neco oskenovat a hledat slabiny.

  • 8. 2. 2017 9:38

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Proc driv, mam aktualne pokud dobre pocitam na verejnych ipv6 asi 30 tiskaren ... zkus na ne neco tisknout. Oni ti patlalove dou tak daleko, ze prosazujou NAt i do ipv6. Protoze to sou takovy trotlove, ze vubec netusej jak site fungujou a myslej si ze to je bezpecnostni prvek.