Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

ąW dniu 10.08.2010 20:00, Grzegorz Janoszka pisze:
> On 10-8-2010 19:16, Sławek Lipowski wrote:
>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>
>> http://lipowski.org/sieci-komputerowe/firewall-hacking-atak-na-firewall-ipv6/
>>
>>
>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
>
> Wiesz, większość ruterów w sieci nie ma żadnych firewalli. Są jakieś
> proste access-listy czasem na ssh/telnet/snmp, ale nic poza tym.
> Sprawdziłem własnie adresy MAC w PLIX i nie tak dużo wygląda na pecety.

Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
stanowi jednak problem. Ale faktycznie, masz rację. Dla ludzi z
założenia otwierających ssh, telnet, czy snmp, podany scenariusz z ipv6
nie jest problemem. Ciężko mówić o obchodzeniu jakiegoś elementu
zabezpieczenia, którego po prostu nie ma. Jednak skoro są tacy, którzy
odfiltrowują coś na iptablesach, to zakładam, że po coś to robią i
opisana podatność ich systemów może być dla nich martwiąca.

> Załóżmy, że jest sobie firma krzak, która ma starego peceta z linuxem

Czemu zakładasz, że to musi być "stary pecet"?

Inna sprawa, że Linux i netfilter to przykład. Nie wiem np. jak zachowa
się w podobnej sytuacji jakieś BSD i pf... Pewnie jak by pogrzebać, to
znajdą się inne podatne systemy.

> podłączonego do węzła wymiany ruchu. Załóżmy, że tam ktoś skonfigurował
> firewalla i wyciął komunikację do uruchomionych tam usług ze świata.

To nie musi się wcale odbyć w ten sposób. Równie dobrze podatność może
dotyczyć małej sieci bezprzewodowej czy osiedlowej w bloku na Zadupiu
Dolnym, w której za ruter robi np. Debian, a atakującym może myć każdy
klient tej sieci. Oczywiście to już wybór Admina tej sieci, czy uzna to
za coś niebezpiecznego, czy nie, ale dobrze, żeby to była jego świadoma
decyzja, a nie stan wynikający z nieświadomości.

W pracy używam Debiana na laptopie. Mam na nim przynajmniej kilka usług
sieciowych, do których dostęp celowo odfiltrowuję. Podłączając się do
sieci LAN w jakiejś firmie nie chciałbym, żeby ktoś mimo to mógł mieć do
nich dostęp.

> Żałóżmy także, że ta maszynka pobrała sobie adres v6, na którym nie ma
> regułek i przepuszcza wszytko. I co? I nic. Dowiesz się, że ten pecet ma
> otwarty port 22 i moĹźe 80 i to praktycznie tyle. Co zrobisz? Niewiele.

To już zależy od konkretnego przypadku. Ale tak, masz rację. To nie jest
recepta na to, jak przejąc pełną kontrolę nad zdalnym hostem itp., a
jedynie opis możliwej do wykorzystania techniki obejścia elementu
istniejącego zabezpieczenia. Czasami może to być jedyny element.

> Właśnie sprawdziłem kilka przypadkowych adresów z PLIXa, niektóre mi
> udostępniły ładne ssh:
>
> Connected to 195.182.218.X
> Escape character is '^]'.
> SSH-2.0-OpenSSH_3.8.1p1 Debian-krb5 3.8.1p1-7sarge1
>
> Connected to 195.182.218.Y
> Escape character is '^]'.
> SSH-2.0-OpenSSH_4.7
>
> Connected to 195.182.218.Z
> Escape character is '^]'.
> SSH-2.0-OpenSSH_5.1p1 Debian-5
>
> No jest tego dużo - sprawdziłem 8 przypadkowych adresów IP i 3 z nich
> podały mi ładne ssh na v4.

Co ja mam powiedzieć. Ich wybór. Inna sprawa, że wcale bym się nie
zdziwił, gdyby na którymś z tych hostów na 22 porcie nie słuchał
prawdziwy demon ssh, tylko jakiś honeypot.

> Fakty są takie: wielu ludzi i tak nie ma żadnych firewalli na v4, więc
> włączenie się v6 nic nie zrobi. A nawet jak znajdziesz przypadek, który
> opsujesz, to dostaniesz dostęp do portu 22, co niewiele da. Na świecie
> jest wiele tysięcy ruterów i sporo z nich udostępnia porty 22 i 23. I
> jakoś nic się nie dzieje i internet działa.

Zapewne są ludzie, którzy przyjmują, że firewall jest im nie potrzebny.
Ich wybór. Ale jeśli ktoś jednak wycina dostęp do ssh na firewallu, to
przecież nie robi tego po to, żebyś i tak miał do tego ssh dostęp, prawda?

> Reasumując - coś sobie wymyśliłeś, ale są to z igły widły, a tak
> naprawdę, to podajesz temat pod dyskusję reklamując własną stronę, na
> ktĂłrej jest napisane:

W którym miejscu jest to robienie z igły wideł? Nie pisze przecież, że z
tego powodu świat się zawali.

> lipowski.org
> Administrowanie sieciami komputerowymi i systemami informatycznymi.
> Usługi informatyczne. Obsługa informatyczna firm. Outsourcing IT.

To już niestety będzie OT...

Przepraszam, może faktycznie dawanie opisu adekwatnego do zawartości
strony jest bez sensu. Postaram się zmienić go w wolnej chwili na
"przesadzanie roślin doniczkowych".

> Czyli wymyśliłeś sobie jakiś temat tylko po to, żeby zareklamować swoje
> usługi. Żałosne, spamerze.
>

Polecam na spokojnie poczytać i pohamować emocje:

http://pl.wikipedia.org/wiki/Zniewaga
http://pl.wikipedia.org/wiki/Znies%C5%82awienie

Z tego co kojarzę, to chyba przebywasz poza Polską? Z tego wynika taka
niepohamowana odwaga w wyrażaniu tego typu potencjalnie karalnych osądów?

Rozumiem, że kompletnie nie dopuszczasz do siebie myśli, że są na tym
świecie ludzie, którzy piszą coś i maja satysfakcję z tego, że ktoś to
potem przeczyta? Jak już kiedyś na usenecie pisałem, zwykle jak człowiek
pisze coś dla ludzi, to przed nimi tego nie chowa, a stara się im to
zaprezentować. Zwykle też spotyka się wtedy z krytyką. Mam za sobą
epizod współpracownika jednej z poczytniejszych magazynów o grach
komputerowych, wiec uwierz mi... przywykłem. Konstruktywna krytyka jest
bardzo pozytywna, bo prowadzi zwykle do ciekawej dyskusji, ale jeśli
ktoś kwituje krytykę obelgą, to ta niestety zamyka jakąkolwiek
potencjalna dyskusję.

To, że udało mi się połączyć pasję z życiem zawodowym też jest zapewne
karygodne. Zapewniam Cię też, że na tego typu wyimaginowane akcje
promocyjne, jakie dostrzegasz w mojej wypowiedzi naprawdę szkoda czasu,
bo bynajmniej ludzi z polipa nie postrzegam jako ewentualny target mojej
działalności gospodarczej. To trochę tak, jak by starać się sprzedać
ryby rybakom...

-- 
Sławek Lipowski
http://lipowski.org