Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

Autor: Bartosz Feński aka fEnIo <fenio_at_debian.org>
Data: Wed 11 Aug 2010 - 07:02:32 MET DST
Message-ID: <slrni64bn8.39n.fenio@serwer.fenski.pl>
Content-Type: text/plain; charset=utf-8

W artykule Marek Kierdelewicz napisał(a):

>>> Te Debiany podane poniżej przez ciebie nie wyglądają na Linuksy? Może
>>> jestem przewrażliwiony, ale dla mnie otwarty dostęp do snmp, czy ssh
>>> stanowi jednak problem.
>
>>No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
>>wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>
> Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
> bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.

Ano.

> Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
> zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
> logowania). Świetna lektura do poduszki dla każdego administratora
> sieci. Niech koledzy z otwartym portem 22 na linuxach siÄ™ pochwalÄ… ile
> im przyrasta dziennie plik /var/log/messages.

Nie wszyscy mają redhatopodobne zabawki, więc przytoczę przyrost
/var/log/auth.log:

mainsrv:~# grep sshd /var/log/auth.log | wc -l
15
mainsrv:~# head -n 1 /var/log/auth.log
Aug 8 05:54:01 mainsrv CRON[6590]: pam_unix(cron:session): session opened for user root by (uid=0)
mainsrv:~#

Jak widać z 3 dni mam całe 15 linijek. Ale może dlatego, że korzystam
z fail2ban? Poza tym mamy 21 wiek. Wystarczy logwatch czy inny analogiczny
soft i do przeczytania jest ładny raport, a nie zestaw logów.

> Brak aclowania/firewallingu własnej infrastruktury to
> nieodpowiedzialność.

Jak możesz to firewallujesz i tyle. Nie czepiałbym się zbytnio tych co nie
firewallują. Widocznie mają ku temu powody. Oczywiście pomijając tych co
bez powodu po prostu guzik robiÄ… ;)

> Jasne, rozumiem, że większość z nas ma lapka, modem 3g i telefon, który
> czasem zadzwoni. Zawsze jednak istniejÄ… vpny i inne alternatywne
> rozwiązania na bezpieczny dostęp zdalny.

SSH to również bezpieczny dostęp zdalny.

pozdr,
fEnIo 

-- 
  ,''`.  Bartosz Fenski | mailto:fenio@debian.org | pgp:0x13fefc40 | irc:fEnIo
 : :' :       32-050 Skawina - Glowackiego 3/15 - malopolskie v. - Poland
 `. `'           phone:+48602383548 | proud Debian maintainer and user
   `-            http://fenski.pl | xmpp:fenio_at_jabber.org | rlu:172001
Received on Wed Aug 11 07:05:02 2010

To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Wed 11 Aug 2010 - 07:40:00 MET DST