NFsec Logo

Obchodzenie zapór pośrednicząco-filtrujących strony web #3

07/08/2018 w Pen Test Możliwość komentowania Obchodzenie zapór pośrednicząco-filtrujących strony web #3 została wyłączona

J

eśli interesują nas wcześniejsze dwie części to znajdziemy je tu (1) i tu (2). Przejdźmy teraz do kolejnej części. W ciągu ostatnich lat bezpieczeństwo webaplikacji stało się bardzo ważnym tematem w dziedzinie IT. Zalety, jakie oferuje sieć sprawiły, że bardzo ważne usługi zostają opracowane jako aplikacje internetowe. Wymagania biznesowe związane z bezpieczeństwem wspomnianych aplikacji również uległy przemianie. Oprócz dobrych praktyk programistycznych wymagane są też dobre praktyki bezpieczeństwa. Stosowane są dodatkowe zabezpieczenia takie, jak WAF (ang. Web Application Firewall). Zapory sieciowe aplikacji to transparentne zapory ogniowe warstwy siódmej, które kontrolują ruch sieciowy i „próbują” chronić aplikację przed atakami.
[ czytaj całość… ]

Blokujemy sieci tor i botnety ransomware

13/05/2016 w Bezpieczeństwo, Hacks & Scripts Możliwość komentowania Blokujemy sieci tor i botnety ransomware została wyłączona

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:
[ czytaj całość… ]

Raspberry PI – dostęp do skrzynki za mechanizmem NAT lub firewall

04/04/2016 w Administracja Możliwość komentowania Raspberry PI – dostęp do skrzynki za mechanizmem NAT lub firewall została wyłączona

A

ktualnie ceny mikrokomputerów pozwalają na masowe ich podłączanie do sieci domowych. Często pełnią rolę multimedialnych stacji lub serwerów o konkretnym zastosowaniu znajdując się za mechanizmami NAT lub ścian ogniowych lokalnych routerów. W jaki sposób możemy dostać się zdalnie do takiego urządzenia bez robienia dziur w swoich sieciowych zabezpieczeniach? Rozwiązaniem jest użycie odwrotnego tunelu SSH.
[ czytaj całość… ]

Łagodzenie ataków SYN oraz ACK flood cz.II

24/10/2015 w Bezpieczeństwo 1 komentarz.

N

o właśnie, co z tymi pakietami SYN? Tutaj ponownie pojawia się problem skalowalności systemu conntrack (tak jak dla stanu listen) dla tworzenia (lub usuwania) połączeń, które spowoduje zalew pakietów SYN. Nawet jeśli uporamy się z blokadą w warstwie conntrack to kolejnym krokiem wędrówki pakietu SYN będzie stworzenie gniazda w trybie „nasłuchu”, czyli kolejną barierą wydajnościową. Normalnym procesem łagodzenia tego typu pakietów w systemie Linux będzie mechanizm SYN-cookies, który również ma ograniczenia.
[ czytaj całość… ]

Łagodzenie ataków SYN oraz ACK flood cz.I

22/07/2015 w Bezpieczeństwo Możliwość komentowania Łagodzenie ataków SYN oraz ACK flood cz.I została wyłączona

P

odstawowy problem skalowalności protokołu TCP w jądrze Linuksa jest związany z liczbą nowych połączeń, jakie mogą być tworzone na sekundę. Odnosi się to bezpośrednio do obsługi gniazd powstających w trybie nasłuchu, które są blokowane. Blokady powodowane są nie tylko przez pakiety z flagą SYN, ale także SYN-ACK oraz ACK (ostatni w potrójnym uścisku dłoni). Podczas ataków DoS / DDoS za pomocą tego rodzaju pakietów atakujący ma na celu wysłanie, jak największej ilości spreparowanych pakietów, które mają na celu osiągnąć i spowodować problem z blokowaniem gniazd w trybie nasłuchu. Jedną z metod jest podniesienie bardzo niskiego limitu dla tego typu gniazd oraz kolejki oczekujących połączeń w systemie:
[ czytaj całość… ]

Nawet z VPN otwarte sieci WiFi powodują wyciek danych

15/06/2015 w Bezpieczeństwo 1 komentarz.

O

statnio Larry Seltzer wykonał prosty test w korzystaniu z otwartych sieci WiFi (tych, które nie oferują żadnego szyfrowania i najczęściej udostępniane są za darmo w restauracjach typu KFC, McDonalds, hotelach itd.). Polegał on na zbadaniu, czy rzeczywiście korzystanie z takich sieci nawet za pomocą wirtualnych sieci prywatnych zapewnia dobry stopień bezpieczeństwa.
[ czytaj całość… ]

Rozszerzenie ipset dla iptables

08/11/2014 w Bezpieczeństwo Możliwość komentowania Rozszerzenie ipset dla iptables została wyłączona

P

rzez długi czas firewall w Linuksie oparty o iptables nie miał żadnego efektywnego sposobu, aby dopasowywać reguły do zbiorów adresów IP. Jeśli mieliśmy wiele adresów IP, aby dopasować do nich różne reguły (na przykład: setki lub tysiące adresów IP, które należało trzymać z daleka od portu SMTP) trzeba było tworzyć jeden wpis iptables dla każdego adresu IP, a następnie wprowadzać te wpisy sekwencyjnie. To wprowadzało wiele komplikacji w utrzymywanie takiego rozwiązania. Na szczęście w jądrach od serii 2.6.39 (Ubuntu 12.04, 14.04, Fedora 20, RHEL / CentOS 7) pojawiło się rozszerzenie ipset.
[ czytaj całość… ]

Nmap widzi przez iptables?

23/11/2013 w Bezpieczeństwo Możliwość komentowania Nmap widzi przez iptables? została wyłączona

Z

ałóżmy, że na moim serwerze posiadam zainstalowany tylko serwer MySQL, który nasłuchuje na wszystkich interfejsach (zewnętrzny / wewnętrzny / lokalny). Jednak za pomocą netfilter ograniczam do niego dostęp tylko do interfejsu zwrotnego, a w przyszłości wybiorę kolejne adresy IP, które będą mogły się z nim łączyć. Wydaje proste polecenie iptables:

iptables -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP

A więc mój firewall wygląda następująco:

[root@darkstar ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  -- !localhost.localdomain  anywhere            tcp dpt:mysql

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

[ czytaj całość… ]

Tam gdzie traceroute nie może…

20/05/2010 w Ataki Internetowe, Bezpieczeństwo Możliwość komentowania Tam gdzie traceroute nie może… została wyłączona

W

nawiązaniu to artykułu „Fire(wall)walking – spacer po zaporze ogniowej” warto również wspomnieć o narzędziu noszącym nazwę tcptraceroute. Jest to przerobiona implementacja standardowego traceroute, która używa pakietów TCP. Jak zauważył jego autor – problemem zapewnienia standardu bezpieczeństwa w Internecie jest jego niestandardowe używanie.
[ czytaj całość… ]

Fire(wall)walking – spacer po zaporze ogniowej

02/05/2010 w Ataki Internetowe Możliwość komentowania Fire(wall)walking – spacer po zaporze ogniowej została wyłączona

F

irewalking w oryginalnym znaczeniu odnosi się do spaceru po ogniu / żarze. Od strony informatycznej stosuje się to pojęcie do dokładnej analizy sieci i zapory ogniowej od strony intruza. Analiza taka pozwala na ocenę stanu jej odporności i ukazania słabości. Można stwierdzić, że każdy audyt bezpieczeństwa sieciowego dotyczy przeprowadzania testów penetracyjnych. Wówczas idea opiera się na symulacji działań potencjalnego intruza. Testy penetracyjne lub tzw. pentesty przeprowadza się przy założeniu, że nie są znane: struktura oraz usługi badanej sieci.
[ czytaj całość… ]