Autor: Szymon Sokol (szymon_at_uci.agh.edu.pl)
Data: Thu 26 Jan 1995 - 13:12:07 MET
Tomasz Kokowski (kokowski_at_CS.PUT.Poznan.PL) wrote:
: Przesylam kopie magazynu FlashBack (Sun) traktujacego o ostatniej serii
: wlaman. *To nie bylo po source routing*.
No, teraz sie troche wyjasnia - rzeczywiscie, sprawa jest nieco powazniejsza
niz pierwotnie myslalem:
: > To gain access, intruders create packets with spoofed source IP
: > addresses. This exploits applications that use authentication based on
: > IP addresses and leads to unauthorized user and possibly root access on
: > the targeted system. It is possible to route packets through
: > filtering-router firewalls if they are not configured to filter
: > incoming packets whose source address is in the local domain. It is
: > important to note that the described attack is possible even if no
: > reply packets can reach the attacker.
Innymi slowy: nie pomoze 'no ip source route' na routerze, i nie pomoze
ZADEN TCP wrapper. Nie ma bowiem sposobu, zeby TCP wrapper na docelowej
maszynie odroznil pakiet falszywy od prawdziwego. To musi robic router.
Przyznaje sie bez bicia, ze jeszcze nie wiem, jak zmusic Cisco, zeby to robilo.
Ale sie dowiem.
Oczywiscie, jesli zrodlo falszywego pakietu jest na lokalnej sieci, to router
nic nie pomoze, ale jak masz na lokalnej sieci hosty, ktorym nie mozesz ufac,
to i tak i tak kanal (ze wzgledu na mozliwosc nasluchu hasel).
: > ftp.research.att.com:/dist/internet_security
: >
: > Bellovin paper: ipext.ps.Z
: > Morris paper: 117.ps.Z
Znalazlem, przeczytalem.
: > Services that are vulnerable to the IP spoofing attack include
: >
: > o SunRPC & NFS
: >
: > o BSD UNIX "r" commands
: >
: > o anything wrapped by the tcp daemon wrappers - site dependent; check
: > your configuration
: >
: > o X windows
: >
: > o other applications that use source IP addresses for authentication
No i to jest rzeczywiscie problem. Moge nie uzywac .rhosts, ale nie uzywac
NFS i X Windows to jest niemozliwosc.
: > In taking over the existing connections, intruders can bypass one-time
: > passwords and other strong authentication schemes by tapping the
: > connection after the authentication is complete. For example, a
: > legitimate user connects to a remote site through a login or terminal
: > session; the intruder hijacks the connection after the user has
: > completed the authentication to the remote location; the remote site is
: > now compromised. (See Section I for examples of vulnerable
: > configurations.)
To tez jest powazna sprawa - to z kolei uderza w uzytkownikow uzywajacych
np. telneta z roznych dziwnych miejsc (np. konferencji itp.), gdzie nie ma
gwarancji, ze host nie jest juz "nadgryziony".
: > If you monitor packets using network-monitoring software such as
: > netlog, look for a packet on your external interface that has both its
: > source and destination IP addresses in your local domain. If you find
: > one, you are currently under attack. Netlog is available by anonymous
Swietny pomysl, tylko na ogol do swojego ZEWNETRZNEGO interfejsu (lacza
do NASK) uzytkownik (abonent NASK) nie ma dostepu. Stawiac 2 routery jeden
za drugim? Absurd.
: > Another way to detect IP spoofing is to compare the process accounting
: > logs between systems on your internal network. If the IP spoofing
: > attack has succeeded on one of your systems, you may get a log entry on
: > the victim machine showing a remote access; on the apparent source
: > machine, there will be no corresponding entry for initiating that
: > remote access.
Zwlaszcza jak sie ma 100+ maszyn, i nie pod jednolita administracja,
przeszukiwanie logow jest fascynujace. I jeszcze 1000+ PC, gdzie logow w
ogole nie ma.
--
Szymon Sokol -- Network Manager
U U M M M M University of Mining and Metallurgy, Computer Center
U U MM MM MM MM ave. Mickiewicza 30, 30-059 Krakow, POLAND
U U M M M M M M M M TEL. +48 12 338100 EXT. 2885 FAX +48 12 338907
UUUU M M M M M M WWW page: http://www.uci.agh.edu.pl/~szymon/
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:49:49 MET DST