Z

e względu na ograniczoną liczbę publicznych adresów IPv4, a także aby chronić systemy przez zagrożeniami z internetu wiele komputerów umieszczanych jest za zaporami sieciowymi. W wielu przypadkach funkcję zapory sieciowej pełni domowy / firmowy router, który również tłumaczy lokalny adres sieciowy komputera np. 192.168.0.10 na publiczny adres IP od ISP za pomocą mechanizmu translacji adresów sieciowych, czyli NAT (ang. Network Address Translation). W połączeniu ze stanowymi regułami zapory sieciowej teoretycznie oznacza to, że atakujący nie może bezpośrednio z internetu połączyć się z komputerem wewnątrz takiej sieci – pierwsze / inicjujące połączenie musi być nawiązane z wewnątrz chronionej sieci. W takiej konfiguracji, gdy dwa komputery są za różnymi zaporami stanowymi (ang. stateful firewall) z mechanizmem NAT i będą chciały skomunikować się ze sobą bezpośrednio – niezależnie od tego, który z nich rozpocznie połączenie, zapora sieciowa tego drugiego może odrzucić przychodzące pakiety danych.
[ czytaj całość… ]

A

ktualnie ceny mikrokomputerów pozwalają na masowe ich podłączanie do sieci domowych. Często pełnią rolę multimedialnych stacji lub serwerów o konkretnym zastosowaniu znajdując się za mechanizmami NAT lub ścian ogniowych lokalnych routerów. W jaki sposób możemy dostać się zdalnie do takiego urządzenia bez robienia dziur w swoich sieciowych zabezpieczeniach? Rozwiązaniem jest użycie odwrotnego tunelu SSH.
[ czytaj całość… ]

A

ktualnie baza MongoDB (v2.4.8) nie posiada możliwości ograniczenia dostępu do wybranych adresów IP na poziomie warstwy aplikacji. Mechanizmem, który można szybko do tego wykorzystać jest netfilter. Daje się on szybko dostosować szczególnie w środowisku wirtualizacji, w którym maszyna wirtualna posiada zmienny, wewnętrzny adres IP na interfejsie eth0 – a jej zewnętrzny adres przechodzi przez mechanizm NAT.
[ czytaj całość… ]

Jednym ze stanów połączenia protokołu TCP jest TIME_WAIT. Jest to stan, w którym następuje oczekiwanie w celu upewnienia się, że druga strona otrzymała potwierdzenie rozłączenia. Zgodnie z dokumentem RFC 793 połączenie w takim stanie może być najdłużej przez 4 minuty. W systemie Linux standardową wartością dla tego stanu jest 60 sekund. Podczas oczekiwania w stanie TIME_WAIT ponowne nawiązanie połączenia z klientem (retransmisja) kosztuje znacznie mniej niż nawiązanie nowego połączenia. Jednak utrzymywanie bardzo wielu połączeń w tym stanie wpływa niekorzystnie na wydajność serwera.
[ czytaj całość… ]

W

nawiązaniu to artykułu „Fire(wall)walking – spacer po zaporze ogniowej” warto również wspomnieć o narzędziu noszącym nazwę tcptraceroute. Jest to przerobiona implementacja standardowego traceroute, która używa pakietów TCP. Jak zauważył jego autor – problemem zapewnienia standardu bezpieczeństwa w Internecie jest jego niestandardowe używanie.
[ czytaj całość… ]

F

irewalking w oryginalnym znaczeniu odnosi się do spaceru po ogniu / żarze. Od strony informatycznej stosuje się to pojęcie do dokładnej analizy sieci i zapory ogniowej od strony intruza. Analiza taka pozwala na ocenę stanu jej odporności i ukazania słabości. Można stwierdzić, że każdy audyt bezpieczeństwa sieciowego dotyczy przeprowadzania testów penetracyjnych. Wówczas idea opiera się na symulacji działań potencjalnego intruza. Testy penetracyjne lub tzw. pentesty przeprowadza się przy założeniu, że nie są znane: struktura oraz usługi badanej sieci.
[ czytaj całość… ]

I

stnieje wiele aplikacji, które do działania potrzebują publicznego adresu IP. Jest szereg sposobów, aby umożliwić użytkownikom wewnątrz sieci lokalnych korzystanie ze wszystkich zalet publicznego IP. Można powiedzieć, że istnieje pewnego rodzaju walka pomiędzy administratorami sieci komputerowych, a ich użytkownikami.
[ czytaj całość… ]

S

zybki przyrost ilości komputerów na świecie powodują, że zmniejsza się ilość wolnych adresów IP. Najczęściej stosowane rozwiązanie czyli NAT pomimo swoich zalet, posiada również wadę. Jest nią brak możliwości tworzenia połączeń pomiędzy komputerami znajdującymi się w różnych sieciach lokalnych.
[ czytaj całość… ]

W

środowisku firmowym często można na serwerach intranetowych znaleźć oprogramowanie potencjalnie podatne na różnego rodzaju ataki. Co gorsza, zdarza się, iż od publikacji informacji o dziurze w zabezpieczeniach do wydania odpowiedniej łatki mija niemało czasu.
[ czytaj całość… ]

W

wielu sytuacjach, gdy z jakiegoś starszego sprzętu, na którym instalujemy system Linux robiąc „domowej roboty” router, służący za bramę do Internetu – przy większym obciążeniu i wykorzystaniu mechanizmu NAT i uprzejmości iptables – –state ESTABLISHED, RELATED – prędzej czy później otrzymujemy komunikat „ip_conntrack: table full, dropping packet” i dzielone łącze internetowe pada.
[ czytaj całość… ]