abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
včera 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 9
23.2. 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 25
23.2. 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 6
23.2. 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
23.2. 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 7
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 7
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 16
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
22.2. 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 704 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: IPsec forwarding

    18.9.2005 19:11 cheyene12 | skóre: 4 | blog: cheyene | Zdar nad Sazavou
    IPsec forwarding
    Přečteno: 407×
    Zdar

    Riesim nasledujuci problem s forwardom IPsecu. Siet tvori server(eth0 xxx.xxx.xxx.xxx, wlan0 10.10.10.1) a laptop (wlan0 10.10.10.2). Spojene je to cez wifi prostrednictvom IPsec tools + racoon + x509 certifikaty. Spojenie je OK. Prihlasenie je mozne len s platnym certifikatom.
    Problem nastane ak na serveri spustim forwarding a SNAT z wlan0 do eth0 - itranetu. Server uz nevyzaduje sifrovane spojenie a overovanie podla certifikatov. Tj moze sa pripojit kazdy.... :-(. Setkey pritom defaultne vytvara poziadavok na autentifikaciu.

    ipsec-tools.conf -laptop
    #!/usr/sbin/setkey -f
    flush;
    spdflush;
    
    spdadd 10.10.10.2 10.10.10.1 any -P out ipsec
        esp/transport//require;
                          
    spdadd 10.10.10.1 10.10.10.2 any -P in ipsec
        esp/transport//require;
    
    racoon.conf - laptop
    path certificate "/etc/racoon/certs";
    
    remote 10.10.10.1
    {
    	exchange_mode main;
    	my_identifier asn1dn;
    	peers_identifier_ asn1dn;
    	verify_cert on;
    	
    	certificate_type x509 "laptop.public" "laptop.private";
    	
    	peers_certfile x509 "server.public";
    	proposal {
    		encryption_algorithm 3des;
    		hash_algorithm sha1;
    		authentication_method rsasig;
    		dh_group 2;
    		}
    }
    sainfo anonymous
    {
    	lifetime time 30min;
    	encryption_algorithm 3des;
    	authentication_algorithm hmac_md5;
    	compression_algorithm deflate;
    }
    
    setkey -DP - laptop
    10.10.10.1[any] 10.10.10.2[any] any
            in ipsec
            esp/transport//require
            created: Sep 18 18:59:32 2005  lastused:
            lifetime: 0(s) validtime: 0(s)
            spid=120 seq=2 pid=3115
            refcnt=1
    10.10.10.2[any] 10.10.10.1[any] any
            out ipsec
            esp/transport//require
            created: Sep 18 18:59:32 2005  lastused:
            lifetime: 0(s) validtime: 0(s)
            spid=113 seq=1 pid=3115
            refcnt=1
    10.10.10.1[any] 10.10.10.2[any] any
            fwd ipsec
            esp/transport//require
            created: Sep 18 18:59:32 2005  lastused:
            lifetime: 0(s) validtime: 0(s)
            spid=130 seq=0 pid=3115
            refcnt=1
    

    Ipsec-tools.conf , racoon.conf a setkey -DP pre server su rovnake (ip adresy, certifikaty su prehodene :-)). Iptables zrejme urobia forwarding a SNAT pred tym ako IPsec overi spojenie. Ako by sa dalo nastavit aby to robili az po overeni? Alebo mam niekde v konfiguracii chybu?


    Thanx

    Odpovědi

    18.9.2005 19:32 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec forwarding
    Jestli jsem dobře pochopil váš problém, řešením by mělo být neNATovat pakety, na které chcete, aby se vztahovala security policy.
    18.9.2005 19:39 cheyene12 | skóre: 4 | blog: cheyene | Zdar nad Sazavou
    Rozbalit Rozbalit vše Re: IPsec forwarding
    JJ. Ale potom sa nedostanem na dalsi server, cez ktory sa pripajan do Internetu... :-(
    18.9.2005 20:07 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec forwarding
    Proč? Maškarádujte to, co je potřeba, ale ne to, co má být realizováno pomocí IPsec.
    19.9.2005 17:45 cheyene12 | skóre: 4 | blog: cheyene | Zdar nad Sazavou
    Rozbalit Rozbalit vše Re: IPsec forwarding
    Da sa to nejako filtrovat? Az take vedomosti nemam...:-(. Dam tu svoj firewall zo servera a ak budete vediet poradit budem rad....
    #!/bin/sh
    # Internal interface LAN
    INTIF=eth0
    # Internal interface WIFI
    INTIF1=wlan0
    
    IPT=iptables
    IFC=ifconfig
    G=grep
    SED=sed
    
    $IPT        -P INPUT       DROP
    $IPT        -P OUTPUT      DROP
    $IPT        -P FORWARD     DROP
    $IPT        -F
    
    $IPT -t nat -P PREROUTING  DROP
    $IPT -t nat -P POSTROUTING DROP
    $IPT -t nat -P OUTPUT      DROP
    $IPT -t nat -F
    
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    
    # Source Address Verification
    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
            echo 1 > $f
    done
    # Disable IP source routing and ICMP redirects
    for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
            echo 0 > $f
    done
    for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
            echo 0 > $f
    done
    
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    INTIP="`$IFC $INTIF|$G addr:|$SED 's/.*addr:\([^ ]*\) .*/\1/'`"
    INTBC="`$IFC $INTIF|$G Bcast:|$SED 's/.*Bcast:\([^ ]*\) .*/\1/'`"
    INTMSK="`$IFC $INTIF|$G Mask:|$SED 's/.*Mask:\([^ ]*\)/\1/'`"
    INTNET="$INTIP/$INTMSK"
    echo "INTIP=$INTIP INTBC=$INTBC INTMSK=$INTMSK INTNET=$INTNET"
    
    INTIP1="`$IFC $INTIF1|$G addr:|$SED 's/.*addr:\([^ ]*\) .*/\1/'`"
    INTBC1="`$IFC $INTIF1|$G Bcast:|$SED 's/.*Bcast:\([^ ]*\) .*/\1/'`"
    INTMSK1="`$IFC $INTIF1|$G Mask:|$SED 's/.*Mask:\([^ ]*\)/\1/'`"
    INTNET1="$INTIP1/$INTMSK1"
    echo "INTIP1=$INTIP1 INTBC1=$INTBC1 INTMSK1=$INTMSK1 INTNET1=$INTNET1"
    
    LPDIF=lo
    LPDIP=127.0.0.1
    LPDMSK=255.0.0.0
    LPDNET="$LPDIP/$LPDMSK"
    
    # Do not complain if chain already exists (so restart is clean)
    $IPT -N DROPl   2> /dev/null
    $IPT -A DROPl   -j LOG --log-prefix 'DROPl:'
    $IPT -A DROPl   -j DROP
    
    $IPT -N REJECTl 2> /dev/null
    $IPT -A REJECTl -j LOG --log-prefix 'REJECTl:'
    $IPT -A REJECTl -j REJECT
    
    $IPT -A INPUT   -i $LPDIF -s   $LPDIP  -j ACCEPT
    $IPT -A INPUT   -i $LPDIF -s   $INTIP  -j ACCEPT
    $IPT -A INPUT   -i $LPDIF -s   $INTIP1 -j ACCEPT
    $IPT -A OUTPUT  -o $LPDIF -s   $LPDIP  -j ACCEPT
    $IPT -A OUTPUT  -o $LPDIF -s   $INTIP  -j ACCEPT
    $IPT -A OUTPUT  -o $LPDIF -s   $INTIP1 -j ACCEPT
    
    # Block broadcasts
    $IPT -A INPUT   -i $INTIF  -d   $INTBC  -j DROP
    $IPT -A INPUT   -i $INTIF1 -d   $INTBC1 -j DROP
    
    # COMmon ports:
    # 0 is tcpmux; SGI had vulnerability, 1 is common attack
    # 13 is daytime
    # 98 is Linuxconf
    # 111 is sunrpc (portmap)
    # 137:139, 445 is Microsoft
    # SNMP: 161,2
    # Squid flotilla: 3128, 8000, 8008, 8080
    # 1214 is Morpheus or KaZaA
    # 2049 is NFS
    # 3049 is very virulent Linux Trojan, mistakable for NFS
    # Common attacks: 1999, 4329, 6346
    # Common Trojans 12345 65535
    COMBLOCK="0:1 13 98 111 161:162 1214 1999 2049 3049 4329 6346 3128
    8000 8080 12345 65535"
    # TCP ports:
    # 98 is Linuxconf
    # 512-515 is rexec, rlogin, rsh, printer(lpd)
    # 1080 is Socks proxy server
    # 6000 is X (NOTE X over SSH is secure and runs on TCP 22)
    # Block 6112 (Sun's/HP's CDE)
    TCPBLOCK="$COMBLOCK 98 512:515 1080 6000:6009 6112"
    # UDP ports:
    # 161:162 is SNMP
    # 520=RIP, 9000 is Sangoma
    # 517:518 are talk and ntalk (more annoying than anything)
    UDPBLOCK="$COMBLOCK 161:162 520 123 517:518 1427 9000"
    
    echo -n "FW: Blocking attacks to TCP port "
    for i in $TCPBLOCK;
    do
      echo -n "$i "
      $IPT -A INPUT   -p tcp --dport $i  -j DROPl
      $IPT -A OUTPUT  -p tcp --dport $i  -j DROPl
      $IPT -A FORWARD -p tcp --dport $i  -j DROPl
    done
    echo ""
    
    echo -n "FW: Blocking attacks to UDP port "
    for i in $UDPBLOCK;
    do
      echo -n "$i "
      $IPT -A INPUT   -p udp --dport $i  -j DROPl
      $IPT -A OUTPUT  -p udp --dport $i  -j DROPl
      $IPT -A FORWARD -p udp --dport $i  -j DROPl
    done
    echo ""
    
    TCPSERV="domain http https ftp ftp-data"
    UDPSERV="domain"
    echo -n "FW: Allowing inside systems to use service:"
    for i in $TCPSERV;
    do
      echo -n "$i "
      $IPT -A OUTPUT  -o $INTIF -p tcp -s $INTIP  \
        --dport $i --syn -m state --state NEW -j ACCEPT
    #  $IPT -A FORWARD -i $INTIF1 -p tcp -s $INTNET1 \
    #    --dport $i --syn -m state --state NEW -j ACCEPT
    done
    echo ""
    echo -n "FW: Allowing inside systems to use service:"
    for i in $UDPSERV;
    do
      echo -n "$i "
      $IPT -A OUTPUT  -o $INTIF -p udp -s $INTIP  \
        --dport $i -m state --state NEW -j ACCEPT
    #  $IPT -A FORWARD -i $INTIF1 -p udp -s $INTNET1 \
    #    --dport $i -m state --state NEW -j ACCEPT
    done
    echo ""
    
    TCPSAMBA="netbios-ns netbios-dgm netbios-ssn microsoft-ds"
    UDPSAMBA="netbios-ns netbios-dgm netbios-ssn microsoft-ds"
    echo -n "FW: Allowing inside systems to use SAMBA "
    for i in $TCPSAMBA;
    do
      echo -n "$i "
      $IPT -A INPUT  -i $INTIF -p tcp -s $INTNET \
        --dport $i --syn -m state --state NEW -j ACCEPT
      $IPT -A OUTPUT -o $INTIF -p tcp -s $INTIP \
        --sport $i --syn -m state --state NEW -j ACCEPT
    done
    echo ""
    
    echo -n "FW: Allowing inside systems to use SAMBA "
    for i in $UDPSAMBA;
    do
      echo -n "$i "
      $IPT -A INPUT   -i $INTIF -p udp -s $INTNET  \
        --dport $i -m state --state NEW -j ACCEPT
      $IPT -A OUTPUT  -o $INTIF -p udp -s $INTIP  \
        --dport $i -m state --state NEW -j ACCEPT
    done
    echo ""
    
    # IPSEC
    echo "Allowing IPsec"
    $IPT -A INPUT  -i $INTIF1 -p udp --sport 500 --dport 500 -j ACCEPT
    $IPT -A OUTPUT -o $INTIF1 -p udp --sport 500 --dport 500 -j ACCEPT
    $IPT -A INPUT  -i $INTIF1 -p 50 -j ACCEPT
    $IPT -A OUTPUT -o $INTIF1 -p 50 -j ACCEPT
    
    # DHCP
    $IPT -A INPUT   -i $INTIF -p udp --sport 67 --dport 68 -j ACCEPT
    $IPT -A OUTPUT  -o $INTIF -p udp --sport 68 --dport 67 -j ACCEPT
    
    # Allow firewall to ping internal systems
    $IPT -A OUTPUT  -o $INTIF -p icmp -s $INTIP \
      --icmp-type 8 -m state --state NEW -j ACCEPT
    $IPT -A OUTPUT  -o $INTIF1 -p icmp -s $INTIP1 -j ACCEPT
    
    # Allow ping internal systems to firewall
    $IPT -A INPUT  -i $INTIF  -p icmp -s $INTNET \
      --icmp-type 8 -m state --state NEW -j ACCEPT
    $IPT -A INPUT  -i $INTIF1 -p icmp -s $INTNET1 \
      --icmp-type 8 -m state --state NEW -j ACCEPT
    
    $IPT -t nat -A PREROUTING                       -j ACCEPT
    #$IPT -t nat -A POSTROUTING -o $INTIF -s $INTNET1 -j SNAT --to $INTIP
    $IPT -t nat -A POSTROUTING                      -j ACCEPT
    $IPT -t nat -A OUTPUT                           -j ACCEPT
    
    #$IPT -A OUTPUT -o $INTIF1 -j ACCEPT
    
    $IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Log & block whatever is left
    $IPT -A INPUT             -j DROPl
    $IPT -A OUTPUT            -j REJECTl
    $IPT -A FORWARD           -j DROPl
    
    Zvyraznil som pravidla pre forwarding a NAT. Nech sa v tom vyzna aj niekto iny okrem mna.:-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.