ICMP - nikoli pro srandu králíkům (diskuse)

AbcLinuxu:/ Blogy / Kacířské myšlenky / ICMP - nikoli pro srandu králíkům / ICMP - nikoli pro srandu králíkům (diskuse)

Štítky: bezpečnost, e-mail, firewally, FTP, Internet, iptables, KDE, kernel, licence, Linux, MTA, práva, proxy, sítě, SMTP, SSH, SUSE, textové editory, traceroute, Unix, Vim, Windows

Nástroje: Začni sledovat (2) ?

Vložit další komentář

11.5.2005 21:27 VícNežNic | skóre: 42 | blog: Spáleniště | Ne dost daleko
Rozbalit Rozbalit vše To už je tak

Odpovědět | Sbalit | Link | Blokovat | Admin

On i ten ping je velmi užitečná věc, blokovače bych od sítě odpojoval štípačkama :-)

Copak toho není dost?

11.5.2005 21:31 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už je tak

U serverů bych o tom vůbec nediskutoval, u běžných desktopů to není životně důležité - i když i tam se funkčnost pingu hodí.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

11.5.2005 21:35 VícNežNic | skóre: 42 | blog: Spáleniště | Ne dost daleko
Rozbalit Rozbalit vše Re: To už je tak

No, není, ale nevidím žádný přínos v blokování pingu, vidím ovšem přínos v něm samotném a jeho použití.

Pamatuju si na knihu Linux, hacking bez tajemství, kde části o firewallu byly hádkou mezi autory a překladatelem, který ve svých poznámkách pod čarou neustále kritizoval nesmyslnost blokování pingu a ICMP obecně. Je fakt, že zrovna firewally tam byly odfláknuté.

Copak toho není dost?

11.5.2005 21:40 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: To už je tak

Běž se zeptat někoho na SH/blk9, kde jsem pár lidí odpojil, když měli zakázaný ping na desktopu. Docházely nám IP adresy a když se jejich počítač jevil jako dlouhodobě neaktivní, prostě jsem mu odebral IP a měl smolíka :-)

-- Nezdar není hanbou, hanbou je strach z pokusu.

11.5.2005 21:43 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Základem bezpečnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

je pochopitelně přejmenovat roota

(a nechat si tam děravé sshčko...)

12.5.2005 11:10 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Ale hlavně musí být na jiném portu než 22, to je naprostý základ. Pak může být klidně děravé a hesla triviální, ale je to "fpoho"… :-)

12.5.2005 14:40 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Je opravdu nutne prejmenovat root? Nestaci jen zakazat aby se nemohl pripojit vzdalene? Dale bych se zeptal, jak takovou operaci provest, aby to nemelo nasledek na sambu atd. Nebo proste staci jen v passwd zmenit root na neco jineho?

12.5.2005 14:51 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Ach jo. To se dalo čekat, že někdo nepochopí, že si děláme legraci… :-(

12.5.2005 15:09 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Vy jste si snad nepřepsal v /etc/passwd & /etc/shadow root na toor (případně avatar) a nezměnil jeho UID na 0x29A? už Vás letím hacknout ;-)

12.5.2005 16:00 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Ja pouzivam zasadne "parez".

12.5.2005 16:38 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Byl to vtip, rozumíte? Vtip. Přejmenovávání roota a spouštění SSH na jiném portu jsou zcela nesmyslné akce, které vypadají strašně profesionálně, ale se zabezpečením systému nemají ve skutečnosti nic společného. Proto jsme si z nich dělali legraci…

12.5.2005 18:13 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Základem bezpečnosti

No me se to zdalo jako nesmyslne, proto jsem zareagoval, jak to delam ja. Ale jist jsem si nebyl. Tak daleko v linuxu jeste nejsem.

Ale popravde jsem o tom premyslel. Kazdy vi, ze root existuje, tak vyzkousi hned ten. Je to vubec mozne prejmenovat root? Jake by byly nasledky? Zas tak velky nesmysl by to nebyl ne? Ale prakticky asi ano.

12.5.2005 18:40 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: Základem bezpečnosti

a) Některé skripty rozlišují roota od ne-roota tak, že testují výstup whoami (grep -r 'whoami.*root' ${PATH//:/ }), takže následky by asi byly. Navíc by asi bylo potřeba buď patchnout su, nebo si napsat vlastní nss modul, který by zjistil, jak se tento týden root vlastně jmenuje (když už chci něco utajit, tak to nenechám ve world-readable /etc/passwd).

b) Proti uhodnutelnému heslu roota nepomůže ani svěcená voda...

c) Když mám díru třeba v sshd, tak je jedno, jestli běží pod uživatelem 'root' nebo 'tidpolwic<' -- zlým hochům stačí, že běží s uid 0. To samé platí o chybách v jádře (viz třeba dnešní zprávičky).

12.5.2005 18:43 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Možné to je, jméno důležité není, jen jeho UID (nula). Ale k ničemu to není. Občas se ale může hodit zavést druhého uživatele s UID 0 (fakticky je to ale jen druhé jméno pro stejného uživatele), např. pokud počítač spravují dva lidé, ale nechcete, aby používali společné heslo.

13.5.2005 22:24 jmeno
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Nemyslim ze presunout ssh na jiny port nema zadny prinos. Porty co jsou hodne vysoko malokdo skenuje a pak az nekdo najde chybu v ssh, tak mas velkou sanci, ze nebudes v crackerskejch db a stihnes driv zaplatovat nez oni utocit.

Sam to ale nedelam, raci omezuju ssh jen na vybrany IP.

A icmp teda zakazuju uplne bezne, i kdyz reci o tom jaka je to blbost posloucham x let :-D

12.5.2005 06:22 rezavý | skóre: 15 | Brušperk
Rozbalit Rozbalit vše Dobrý

Odpovědět | Sbalit | Link | Blokovat | Admin

S autorem nezbývá než souhlasit. Bohužel vynalézavost USERÚ a "ODBORNÍKÚ" je neomezená a tupost druhé jmenované skupiny většinou dokonalá. Doma to řeším přes arping na segmentu, ale to není řešením vždy a pro všechny účely diagnostiky.

12.5.2005 08:36 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše svata pravda

Odpovědět | Sbalit | Link | Blokovat | Admin

Zdravim

No co ja vim tak standard je propoustet jen potrebny ICMP a zbytek pryc.

#povoli jen potrebne ICMP zpravy
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT

V nasi siti jsem zavedl pravidlo ze je zakazano v osobnich firewallech blokovat ping a traceroute. To potom kdyz si jeden kluk pingal kam chtel, ale ja jsem si na nej neping a on mi 2 hodiny tvrdil ze firewall ma vypnutej... Pekne jsem byl nas...

Ty co blokujou icmp uplne bych nejprve uskrtil, pak rozrezal, uvaril a povesil na namesti ostatnim pro vystrahu.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

12.5.2005 10:56 kavol | skóre: 28
Rozbalit Rozbalit vše Re: svata pravda

No co ja vim tak standard je propoustet jen potrebny ICMP a zbytek pryc.

aha, a číslo toho standardu? a jak se jako určuje, co je potřebné? podle nálady admina nebo podle předpovědi počasí? :-/

Ty co blokujou icmp uplne bych nejprve uskrtil, pak rozrezal, uvaril a povesil na namesti ostatnim pro vystrahu.

Ty, co selektivně blokujou cokoliv jen na základě toho, že oni zrovna nic jiného nepotřebujou, bych nejprve uškrtil …

12.5.2005 13:25 Vojta Koukal | skóre: 1
Rozbalit Rozbalit vše ICMP

Odpovědět | Sbalit | Link | Blokovat | Admin

Kdyztak nad tim premyslim, zkuste si schvalne zapnout Windowsovskej firewall a zkuste si na ten pocitac pingnout :-)

))

12.5.2005 14:17 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Nechte si ty vylevy na Winy pro sebe. Kdyz to s nima neumite, tak to nedavejte alespon najevo. Me oba systemy slouzi a velice dobre.

12.5.2005 14:54 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Když slouží tak dobře, pokuste se nám nějak rozumně vysvětlit, proč defaultní nastavení způsobí nekorektní chování systému…

12.5.2005 15:03 kavol | skóre: 28
Rozbalit Rozbalit vše Re: ICMP

to přece není (zatím, afaik) default, ten firewall ve woknech musíte ručně zapnout, to je potom jasná vina uživatele, že jej před zapnutím nezkonfiguruje tak, aby se to chovalo korektně ;-)

12.5.2005 16:14 FiJi
Rozbalit Rozbalit vše Re: ICMP

V XP SP2 je to default, ne? A např. Kerio taky IMHO defaultně ICMP filtruje.

12.5.2005 16:25 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Klidne vam odpovim, i kdyz uz jste odpoved dostal. Ja mam zkusenost, a verte mi ze mi to vzdy hne zluci, ze kdyz instaluju novou masinu do domeny a zadam po instalaci - firewall nepouzivat, ze se mi i tak zapne. Jinak vim, ze si to muzu nastavit defaultne v policy. Ale proste to jen tak zminuju. Spis se to zapina samo, nez vypina samo.

Navic jak je to u linuxu? Rekl bych, ze s bezpecnosti u linuxu po instalaci je to i horsi. Ale tomu zase jeste tak nerozumim. Jen tak odhaduji na zaklade mych skusenosti.

Z toho vseho vypliva, ze se vse proste musi nejak nastavit, aby to fungovalo. Pokud se to nastavi, tak je to ok. Jak Linux, tak Windows. Problem je v tom, ze Linux malo kdo chce. Hlavne se to neda nasadit v prostredi kde se pracuje s ucetnictvim, a dalsimi podobnymi programy, protoze to nikdo z firem nepodporuje. Jedine plus Linuxu je cena. Proste kdyz by se to nasadilo, tak cena za licence rapidne klesa. My mame mame vsude Unix firewally s postakem a proxy, ale zbytek jsou Win. Je to skoda, ale proste ty windows makaj. Dobre mame spyware, ale virusy nemame a spyware odstranime kazdy mesic. Alespon mame co delat :-)

U win serveru je potiz hlavne pri updatech. To se vzdy bojime, jestli se to rozjede, hlavne kdyz je tam take Veritas. Ted jsem ale prisel na Arkeia zalohovaci soft pro Linux, ale zalohuje i win servery, tak ho chci vyzkouset. Ale z obrazku to vypada, oproti veritasu, jako omalovky v porovnani s photoshopem. Uvidime. Podle me, i kdyz to bude funkcni, tak to stejne nikdo od nas z firmy neprijme.

12.5.2005 16:36 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Rekl bych, ze s bezpecnosti u linuxu po instalaci je to i horsi. Ale tomu zase jeste tak nerozumim.

Když víte, že tomu nerozumíte, tak raději nic neříkejte… Místo toho se raději podívejte, jak je to s povolenými službami a nastavením firewallu při defaultní instalaci SuSE 9.3, které jste před chvílí tak strhal…

Z toho vseho vypliva

Plynout, ne plivat…

12.5.2005 18:15 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

SuSE ano, ale co treba jine distra?

12.5.2005 18:16 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem

12.5.2005 18:17 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem.

A jinak, jsem nesmeroval na to co je vice bezpecne nebo mene, ale na to, ze se to prosto musi nastavit. Nekde je to tak a nekde jinak.

12.5.2005 18:45 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Většina současných distribucí (aspoň těch rozumnějších :-) ) nepovoluje defaultně nic, nanejvýš MTA na lokální smyčce a SSH. Dřív (druhá půlka devadesátých let) to pravda, bývalo jinak, ale to je minulost…

12.5.2005 19:15 kavol | skóre: 28
Rozbalit Rozbalit vše Re: ICMP

SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem.

hm, před prvním loginem? - nebylo by to účelnější před inicializací síťového rozhraní? - nebo všechny ty virečky a červíci snad čekají, než se uživatel zaloguje?

(možná jen blbě kecám, wokna jsem už dlouho neviděl instalovat, možná to "před prvním loginem" je opravdu před inicializací sítě? - ale moc tomu nevěřím, vím, že podobný problém, jako se líčí v blogu, má spousta lidí, a to že aby mohli stáhnout SP, musí se připojit k síti, a když se připojí k síti, tak bez SP jdou wokna do kytek asi tak za desetinu času, než se jim všechny záplaty stihnou stáhnout ...)

A jinak, jsem nesmeroval na to co je vice bezpecne nebo mene, ale na to, ze se to prosto musi nastavit. Nekde je to tak a nekde jinak.

a není lepší, když je defaultní nastavení v souladu se standardy a použitelné beze změn (je-li to možné)?

12.5.2005 19:23 kavol | skóre: 28
Rozbalit Rozbalit vše Re: ICMP

"jako se líčí v blogu" - vypadl mi odkaz, pardon

12.5.2005 16:41 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Navíc řeč nebyla o tom, který systém je bezpečnější. Řeč byla o tom, že windowsí firewall (je-li zapnut) defaultně zakazuje ICMP echo, což je nastavení, které porušuje standardy.

12.5.2005 18:19 FiJi
Rozbalit Rozbalit vše Re: ICMP

Já tedy když nainstaluju Linux, tak mi tam neběží žádná síťová služba, takže mi tam firewall nechybí. Ve Windows se "žádná síťová služba" realizuje asi jen vytažením síťového kabelu :-(

13.5.2005 23:49 Jarek Šeděnka
Rozbalit Rozbalit vše Re: ICMP

nebo je treba muzete povypinat v nastaveni Sluzeb ;-)

12.5.2005 15:15 ivan | skóre: 17 | blog: ivan
Rozbalit Rozbalit vše Nezbyva nic nez souhlasit

Odpovědět | Sbalit | Link | Blokovat | Admin

Dalsi takova "chytra" rada je dropovani vsech packetu, ktere smeruji na zakazane porty. Alespon u portu 113(ident) by mel server bud odpovedet nebo poslat "connection refused".

Zakladem bezpecnosti prece neni firewall, ale neexploitovatelna aplikace a dostatecne silna hesla.

12.5.2005 20:18 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Nesmysl. Základ bezpečnosti je, že žádný základ bezpečnosti není.

Zabezpečení musí být vrstevnaté a bezpečné musejí být všechny části. Mít nějaký úžasný ,základ bezpečnosti`, který když se posere, tak se sesype všechno, je typický amatérský přístup.

12.5.2005 20:26 Michal Kubeček
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Nejdůležitějším bezpečnostním opatřením je nepustit k tomu lidi. Nejslabším článkem je zásadně uživatel… :-)

12.5.2005 20:29 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

"Základem bezpečnosti" jsou 4 pravidla:

Princip minimality práv - uživatel nebo proces smí mít jen taková práva, která nezbytně potřebuje. Pokud někdy potřebuje větší, po skončení této potřeby se práva musí opět snížit.
Princip odepření přístupu - implicitní reakce služby musí být vždy odepření (zákaz). Teprve pak se povolují jednotlivá použití.
Princip nedůvěry - žádným informacím nelze věřit. Je třeba počítat s tím, že cokoliv může být podvržené, pozměněné apod.
Princip bezpečného zotavení - dojde-li k výjimečné situaci, musí se systém/program zotavit tak, aby nepovolil neoprávněné použití služby apod.

Když se tato pravidla dodržují (samozřejmě společně s dalšími bezpečnostními pravidly, týkajícími se např. hesel nebo okamžité aplikace patchů), je možnost napadení výrazně snížena.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.5.2005 21:18 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Princip odepření přístupu - implicitní reakce služby musí být vždy odepření (zákaz). Teprve pak se povolují jednotlivá použití.

ano, to je obzvlášť vypečený bod :-/

Dobrý den.

Dovolte, abych se představil. Jmenuji se Ivo a jsem provozovatelem serveru seznam.cz Nedávno jsem si v logu všimnul, že se na port 80 mojeho serveru pokoušel připojit počítač z IP adresy, která by dle našeho detektivního oddělení měla patřit Vaší firmě. To mě vede k důvodnému předpokladu, že byste rád využíval služeb našeho serveru. Pokud tomu tak skutečně je, prosím odešlete na adresu naší firmy notářsky ověřený certifikát o vlastnictví inkriminované IP adresy spolu s žádostí o povolení přístupu na standardizovaném formuláři ISVT-befelemepesseveze. Připomínám, že chcete-li využívat i jiných služeb, než http, jmenovitě https, smtp a pop3, je potřeba pro každou vyplnit samostatný formulář; naopak osvědčení o IP adrese stačí poslat jednou.

Na spolupráci se těší ...

p.s. veškerá podobnost se skutečností je čistě nezáměrná a náhodná, autor tohoto textu se zříká jakékoliv zodpovědnosti, (c) kavol 2005 - all your penízky are belong to U.S.

13.5.2005 07:20 Vojta Koukal | skóre: 1
Rozbalit Rozbalit vše Bezpecnost

Kdyz uz se tu mluvi o "bezpecnem" PC tak to exituje pouze kilometr zakopany pod zemi a bez jakykoliv site.Jinak si proste bezpecne PC nedovedu predstavit, ne v dnesni dobe....

13.5.2005 09:14 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Bezpecnost

... a bez jakykoliv site.

pochopitelně je míněna i ta elektrická napájecí, že ;-)

jinak zapomněl jste na kontejner (takový, do jakého se dává radioaktivní odpad), zamaskování místa zakopání a likvidaci všech svědků :-)

12.5.2005 20:20 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše WinXP firewall

Odpovědět | Sbalit | Link | Blokovat | Admin

Windowsí firewall se chová dost podivně. Nedávno jsem potřebovat na počítači s WinXP spustit FTP server. Otevřel jsem tedy porty 20 a 21. Přenos FTP příkazů (přes port 21) fungoval, data v pasivním režimu (port 20) ale nikoliv. Zkusil jsem všechno možné, ale nerozchodil jsem to. Jediné řešení bylo buď použít aktivní režim FTP anebo úplně odstavit firewall.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.5.2005 23:13 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: WinXP firewall

Zdravim

Windowsi firewall funguje jednoduse tak ze udela maskaradu. Takze problem je na svete. Staci se podivat na zmenenou IP adresu.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

12.5.2005 23:46 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: WinXP firewall

No FUJ!

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

Založit nové vlákno • Nahoru

Tiskni Sdílej: