информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
И еще... 05.11.03 13:59  Число просмотров: 1787
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
адреса асечных серверов имеют тенденцию меняться, поэтому либо придется постоянно перенастраивать файрвол либо поставить внутри сетки прокси (Squid или Socks5).
все сервера с которыми общается аська находятся в тех же подсетях что и login.icq.com (на данный момент это 64.12/16 и 205.188/16)

> Только что заметил, что для каждого пользователя сервер,
> который пересылает сообщения, один и тот же. И это при том,
> что все ходят через один и тот же шлюз.
>
> Может кто знает URL этих серверов или список их IP-адресов
<sysadmin>
ICQ-шлюз 05.11.03 08:45  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
Надо открыть доступ к ICQ через шлюз и при этом ко всему остальному доступ надо запретить.

Вобщем, вопрос такой: Какие серверы использует ICQ для передачи сообщений и авторизации?.

ОС: Linux
Firewall: IPTables
по моим сведениям, *.icq.com - это 64.12.0.0/16 и 205.188.0.0/16 12.11.03 17:55  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
во всяком случае так обращаются icq-клиенты через http/https.

а еще патчить - на NATе ты баннеры не отрежешь :)))
ICQ-шлюз 05.11.03 09:33  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
nslookup login.icq.com
tcp:5190

> Надо открыть доступ к ICQ через шлюз и при этом ко всему
> остальному доступ надо запретить.
> Вобщем, вопрос такой: Какие серверы использует ICQ
> для передачи сообщений и авторизации?
.
> ОС: Linux
> Firewall: IPTables
Ну да 05.11.03 10:00  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> nslookup login.icq.com
> tcp:5190
>
> > Надо открыть доступ к ICQ через шлюз и при этом ко
> всему
> > остальному доступ надо запретить.
> > Вобщем, вопрос такой: Какие серверы
> использует ICQ
> > для передачи сообщений и авторизации?
.
> > ОС: Linux
> > Firewall: IPTables

И что интересно - не только "Linux & IPTables" ;))))
Было бы, да "бы" мешает... 05.11.03 11:49  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
Судя по всему, login.icq.com является сервером для авторизации.
tcpdump показывает, что после небольшого диалога с login.icq.com отправка/прием сообщений происходит с другим сервером, причем особой закономерности не видно: 64.12.31.32, 64.12.30.252, ...

Эти адреса WHOIS приписывает America Online (собственно, так и должно быть), DNS вообще про них ничего не знает...

Вот и хотелось бы узнать, какие серверы работают с пересылкой сообщений...

P.S. А "Linux & IPTables" было указано для желающих написать готовые правила для firewall'a.
И еще... 05.11.03 13:24  
Автор: alien <Андрей> Статус: Member
Отредактировано 05.11.03 13:25  Количество правок: 1
<"чистая" ссылка>
Только что заметил, что для каждого пользователя сервер, который пересылает сообщения, один и тот же. И это при том, что все ходят через один и тот же шлюз.

Может кто знает URL этих серверов или список их IP-адресов
И еще... 05.11.03 13:59  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
адреса асечных серверов имеют тенденцию меняться, поэтому либо придется постоянно перенастраивать файрвол либо поставить внутри сетки прокси (Squid или Socks5).
все сервера с которыми общается аська находятся в тех же подсетях что и login.icq.com (на данный момент это 64.12/16 и 205.188/16)

> Только что заметил, что для каждого пользователя сервер,
> который пересылает сообщения, один и тот же. И это при том,
> что все ходят через один и тот же шлюз.
>
> Может кто знает URL этих серверов или список их IP-адресов
И еще... 06.11.03 07:13  
Автор: alien <Андрей> Статус: Member
Отредактировано 06.11.03 07:16  Количество правок: 1
<"чистая" ссылка>
> адреса асечных серверов имеют тенденцию меняться, поэтому
> либо придется постоянно перенастраивать файрвол либо
> поставить внутри сетки прокси (Squid или Socks5).
> все сервера с которыми общается аська находятся в тех же
> подсетях что и login.icq.com (на данный момент это 64.12/16
> и 205.188/16)

Squid в сетке стоит. Все через него ходят в Интернет за бабки. Учет трафика и денег ведется при помощи самописной биллинговой системы, которая работает на основе анализа журналов Сквида. Для каждого пользователя заведен свой аккаунт. Т.е. без наличия аккаунта в инет доступа нет. Открыть доступ к аськиным серверам можно при помощи acl, но тогда возникает проблема - как считать трафик если пользователь не указан. Конечно можно написать дополнительный скрипт, но это уже через %опу получается. Хотелось бы более элегантного способа. Как вариант, можно завести специального пользователя на Сквиде, но как при помощи acl разрешить ему доступ только к аське (login.icq.com:5190)? Если это возможно сделать ТОЛЬКО при помощи acl не используя редиректоров, то проблема решается сама собой, но читая конфиг Сквида я такой возможности не нашел (может читал невнимательно).

Теперь доводы по отношению к IPTables...
Собственно, IPTables я хочу использовать потому, что это, как мне кажется, менее ресурсоемко (думаю, что Сквид использует больше ресурсов для поддержки соединения) и более удобно в плане учета трафика (снять показания счетчиков IPTables и закинуть их в базу никаких проблем не вызовет), но здесь меня беспокоит проблема "левого" трафика - сети 64.12/16 и 205.188/16 скорее всего содержат не только аськины серверы и не факт, что на одном из серверов на порту 5190 висит FTP-сервер с кучей фильмов, несанкционированное скачивание которых может привести к подвешиванию меня за яйца начальством. Потому и возникает вопрос - какой домен у серверов ICQ, пересылающих сообщения?. Ведь на основе имени домена не так уж и сложно периодически обновлять правила в цепочках IPTables...

Спасибо всем, кто сможет дать ответ на один из вышеуказанных вопросов.
icq via squid 12.11.03 18:15  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
как при помощи acl разрешить
> ему доступ только к аське
> (login.icq.com:5190)

у меня просто первым правилом в списке стоит разрешение всем внутренним хостам этих подсетей. т.о., icq работает и у тех, у кого http выключен административно.

что касается на кого списывать трафик, то это зависит от того, насколько официальна эта твоя идея - либо действительно на левого пользователя. например у меня сарг говорит, что трафик по аське совершенно несерьезен.

насчет ftp:5190 в подсетях AOL - не исключено, но вообще говоря, смешно :)
icq via squid 13.11.03 12:17  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
А как при помощи сквидовских acl-ов разрешить доступ к порту 5190 сетей 64.12.0.0/16 и 205.188.0.0/16? Открывать доступ на все порты нельзя - бесплатным и общедоступным должен быть только трафик аськи.
icq via squid 13.11.03 12:40  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> А как при помощи сквидовских acl-ов разрешить доступ к
> порту 5190 сетей
> 64.12.0.0/16 и
> 205.188.0.0/16? Открывать доступ на все
> порты нельзя - бесплатным и общедоступным должен быть
> только трафик аськи.

используются не только эти порты. в логах я видел также 80, 443, 20480.
вобщем как вариант поэкспериментировать разрешить только https ? http запретить. попробуй.
icq via squid 14.11.03 11:19  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> используются не только эти порты. в логах я видел также 80,
> 443, 20480.
> вобщем как вариант поэкспериментировать разрешить только
> https ? http запретить. попробуй.

Собственно, то какие порты используются аськой - я могу посмотреть на месте. Подскажи, как можно сквидовскими acl'ами разрешить доступ к асечным серверам на указанные порты и чтобы при этом на все остальные запросы надо было авторизоваться, а после авторизации доступ был разрешен везде.
icq via squid 14.11.03 15:10  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > используются не только эти порты. в логах я видел
> также 80,
> > 443, 20480.
> > вобщем как вариант поэкспериментировать разрешить
> только
> > https ? http запретить. попробуй.
>
> Собственно, то какие порты используются аськой - я могу
> посмотреть на месте. Подскажи, как можно сквидовскими
> acl'ами разрешить доступ к асечным серверам на
> указанные порты и чтобы при этом на все остальные запросы
> надо было авторизоваться, а после авторизации доступ был
> разрешен везде
.

примерно в таком порядке:

1. если асечный баннер, deny всем
2. если асечный адрес, allow всем
3..10 остальные твои правила.

у меня все проще и сквид пускает на основе IP адреса, на аську всех, а дальше уже всяческие правила. кусок моего конфига ниже. ICQ входит в файл allowall.acl

================================================

# full access to VIP

http_access allow VIP


# cut off fuckin' banners & counters

acl banners url_regex "/usr/local/squid/etc/banners.acl"
deny_info http://169.254.94.16/err_access_denied.html banners
http_access deny banners


# this allowed to all regardless to our_networks

acl allowall url_regex "/usr/local/squid/etc/allowall.acl"
http_access allow allowall


# look at mp3, chats, and other relax on the job

acl mp3 url_regex "/usr/local/squid/etc/mp3.acl"
# deny_info http://jammer.nm.ru/kill.java.script.howto.html mp3
deny_info http://169.254.94.16/annoy.sysadmin.html mp3
http_access deny mp3


# please no girls

acl porn url_regex "/usr/local/squid/etc/porn.acl"
acl noporn url_regex "/usr/local/squid/etc/noporn.acl"
# deny_info http://jammer.nm.ru/kill.java.script.howto.html porn
deny_info http://169.254.94.16/annoy.sysadmin.html porn
http_access allow noporn our_networks
http_access allow noporn lakin
http_access deny porn all

#http_access allow all

# default rule to all good people

http_access allow our_networks
http_access allow lakin


# And finally deny all other access to this proxy
http_access deny all


а тут мои конфиги полностью
дополнение: отрезаемые реально баннеры 14.11.03 15:15  
Автор: jammer <alex naumov> Статус: Elderman
Отредактировано 14.11.03 15:32  Количество правок: 1
<"чистая" ссылка>
1068706430.885 0 169.254.94.12 TCP_DENIED/302 363 GET http://205.188.250.25/cb/547/datafiles/banners.cb? - NONE/- text/html
1068706432.864 0 169.254.94.12 TCP_DENIED/302 363 GET http://205.188.250.25/cb/547/datafiles/clbanner.cb? - NONE/- text/html
1068705917.141 634 169.254.94.16 TCP_DENIED/302 368 GET http://ar.atwola.com/file/adsWrapper.js - NONE/- text/html
1068705938.708 0 169.254.94.16 TCP_DENIED/302 368 GET http://ar.atwola.com/file/adsEnd.js - NONE/- text/html
1068706399.711 87 169.254.94.12 TCP_DENIED/302 363 GET http://ar.atwola.com/image/93169577/23166/aol/ - NONE/- text/html

будешь настраивать - ar.atwola.com полностью идет лесом.

может кто поделится еще инфой, буду только рад.
icq via squid 14.11.03 13:45  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
не заморачивайся - поставь Сокс5
в конфиге напишешь
permit - c твоя_сетка 64.12. - 5190
permit - c твоя_сетка 205.188. - 5190
deny - - - - - -

это тебе даст а) доступ к асечным серверам и б) порежет баннеры

> Собственно, то какие порты используются аськой - я могу
> посмотреть на месте. Подскажи, как можно сквидовскими
> acl'ами разрешить доступ к асечным серверам на
> указанные порты и чтобы при этом на все остальные запросы
> надо было авторизоваться, а после авторизации доступ был
> разрешен везде
.
носки or no ski ? that's the question 14.11.03 16:10  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> не заморачивайся - поставь Сокс5 это тебе даст а) доступ к асечным серверам и б) порежет баннеры

я лично придерживаюсь такой точки зрения, что:

во-первых, чем меньше сервисов, тем лучше.

во-вторых, по возможности трафик должен идти через proxy, это позволяет использовать кеширование, более удобную (по имени) и более подробную фильтрацию (избирательно в пределах одного и того же хоста) - если сравнивать фильтрацию с файрволлом, да и зачем грузить систему, позволяя прокси-серверу или natd посылать пакеты, которые все равно запрещены на файрволле?

в-третьих, остальной трафик пускать через NAT и только избранным, контролируя трафик хотя бы в смысле его количества. http, ftp и т.д. порты на NATе закрыть (только вчера заметил что они были открыты :) - есть прокси для этого.

разумеется, это не считая просто общей настройки файрволла и прочего.

что же касается баннеров, что носки будут делать с такими запросами??

1068706430.885 0 169.254.94.12 TCP_DENIED/302 363 GET http://205.188.250.25/cb/547/datafiles/banners.cb? - NONE/- text/html
1068706432.864 0 169.254.94.12 TCP_DENIED/302 363 GET http://205.188.250.25/cb/547/datafiles/clbanner.cb? - NONE/- text/html

при этом это надо пропускать:

1068677526.735 718168 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.229/monitor? - DIRECT/205.188.213.229 text/html
1068678320.033 718180 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.228/monitor? - DIRECT/205.188.213.228 text/html
1068680131.264 718174 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.231/monitor? - DIRECT/205.188.213.231 text/html
1068686037.543 718192 169.254.94.2 TCP_MISS/500 1324 GET http://205.188.179.5:20480/monitor? - DIRECT/205.188.179.5 text/html
1068689973.980 718170 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.230/monitor? - DIRECT/205.188.213.230 text/html
1068693181.874 718179 169.254.94.2 TCP_MISS/500 1324 GET http://205.188.179.5:20480/monitor? - DIRECT/205.188.179.5 text/html
1068698337.241 718183 169.254.94.2 TCP_MISS/500 1324 GET http://205.188.179.6:20480/monitor? - DIRECT/205.188.179.6 text/html

и т.д. попробуй тут формализуй задачу на уровне IP-адресов ;)
носки or no ski ? that's the question 14.11.03 17:38  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
> я лично придерживаюсь такой точки зрения, что:

оно конечно хорошо, но от сокса5 никому еще плохо не было ;0)))
по крайней мере у меня сокс со сквидом на пару работают и не пыхтят.
> во-первых, чем меньше сервисов, тем лучше.

а сокс-это не прокси? 80)) здрасьте, приехали
и нафига тебе кэшировать асечную инфу? сквид-для веба, сокс-для аськи
> во-вторых, по возможности трафик должен идти через proxy,
> это позволяет использовать кеширование, более удобную (по
> имени) и более подробную фильтрацию (избирательно в
> пределах одного и того же хоста) - если сравнивать
> фильтрацию с файрволлом, да и зачем грузить систему,
> позволяя прокси-серверу или natd посылать пакеты, которые
> все равно запрещены на файрволле?

ё-ка-лэ-мэ-нэ.
не нужно лечить здорового. у меня у самого всё через прокси идет (сквид+сокс) , всё остальное наглухо закрыто
> в-третьих, остальной трафик пускать через NAT и только
> избранным, контролируя трафик хотя бы в смысле его
> количества. http, ftp и т.д. порты на NATе закрыть (только
> вчера заметил что они были открыты :) - есть прокси для
> этого.
> разумеется, это не считая просто общей настройки файрволла
> и прочего.

а просто не будет пропускать.
по тем аксл-кам для сокс которые я выше приводил у меня никаких баннеров что-то не показыавется (да и не должно).
> что же касается баннеров, что носки будут делать с такими
> запросами??

а не проще-на уровне приложений? ;0))
> и т.д. попробуй тут формализуй задачу на уровне IP-адресов
> ;)
ЗЫ
это уже переходит во флэйм и ответов я больше в эту нитку писать не
буду. от так :0)
Сделал я так... 18.11.03 09:17  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
Открыл доступ в iptables на порт 5190 к хостам 64.12.0.0/16 и 205.188.0.0/16 по протоколу tcp.

Все работает без проблем - и ICQ 2003 и Miranda. ICQ целый день стоит и баннеры пока не показывает (наверное она их забирает с других портов, доступ на которые закрыт).

Вот так...
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach