информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСтрашный баг в WindowsSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
> http 02.08.04 09:55  Число просмотров: 1609
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>в качестве внешнего можно использовать любой протокол - хоть
> http

1) Совершенно верно. Лично мне представляется http ещё более опасным. Вот его попробуй не разреши. ;))
В месте с тем, многое реальное, а не мифическое spyware сегодня работает именно по http. Это может быть настоящей головной болью для админов в сетках, где нет проф. антиспай проги. Легко делается "upload" данныхвинтернет по http. При этом даже паковать ничего не надо. всё совершенно легально - данные передаются при помощи команды PUT.
Особенно забавно использование фаревольных решений M$ с http. Там вдинамическихфильтрах поддерживвется только заданание прикладных протоколов. Это, конечно, хорошо. Но легко видеть вполне легальный трафик http с клиентского порта xxx, на серверные порты 12200, и т.п.;))) Если же пользоваться статическими фильтрами и задавать порт 80, то теряется вся прелесть контроля трафика по прикладным протоколам.
Таким образом единственный способ использовать эти продукты M$- сочетать их дополнительным "фареволом", стоящим впереди изделия M$. Думаю, достаточно поставить BSD c ipfw, где трафик будет пермититься только по портам, а не протоколам. Кстати, об этом говорил ещё сам M$ в доке для MS Proxy. Сам видел. Только ссылку не вспомню. Для ISA Server они уже об этом молчат, хотя проблема всё таже осталась.

2) Конечно, опытные товарищи могут меня поправить, мол, покупай майм свиппер. На это я отвечу -разумно, конечно. Но лучше я куплю нормальный фаревол ;)))

> Опасность
> использования DNS - в том, что он есть везде, и его
> практически не замечают и не ограничивают. Соответственно,
> прозвучал призыв к системным администраторам уделять больше
> внимания DNS.

1) Здесь импортный гуру ошибается. В отпуск его, либо к нам в Магадан. Роль DNS, конечно, особая c точки зрения снижения безопасности, но автор статьи не понял в чём она ;))) А дело (и опасность) вот в чём.... Помимо TCP (для передачи зон первичным серверам) DNS сервера и резольверы используют UDP. В этом-то и косяк. Для UDP нет понятия "текущая последовательность байт", а значит под видом легального трафика вполне можно хачить с 53 -го удалённого порталюбыеUDP порты клиента. Другими словами, невозможно обычными средвами определить - идёт ли разговор о трафике внешнего DNS сервера, или на 53-порту в интернете "сидит" ложный DNS-сервер, которому spyware на клиенте отдаёт непонятно что.

2) В целом опасность слегка надумана, т.к. во-первых параноики могут использовать майм свиперы (чтобы удостовериться, что UDP-трафик действительно включает DNS запросы и ответы), а во-вторых надо использовать нормальные решения, когда в горле сетки(сеток) разрешается DNS трафик только для корпоративных DNS. А уж клиентыв конторе должны обращаться только к своим корпоративным кеширующим DNS серверам, а не DNS-серверам в инет. По крайней мере, надо будет концентрироваться только на небольшом числе хостов в ДМЗ.
<site updates>
DNS как средство преодоления защиты 01.08.04 14:12  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
DNS как средство преодоления защиты
CNet http://news.com.com/DNS+opens+networks+to+data+attacks/2100-1002_3-5291874.html?part=rss&tag=5291874&subj=news.1002.5

На последнем Defcon'е Дэн Камински представил доклад, посвященный передаче информации из защищенной сети с помощью даных, инкапсулированных в DNS-пакеты. Пакеты эти спокойно обходили файрволлы, поскольку выглядели вполне невинным взаимодействием DNS-серверов. Инкапсуляция пакетов одного протокола в другой давно и широко используется (достаточно вспомнить те же VPN), и, по большому счету, в качестве внешнего можно использовать любой протокол - хоть http, хоть протокол передачи данных на дискетах в архивах (лишь бы с таймаутами разобраться :). Опасность использования DNS - в том, что он есть везде, и его практически не замечают и не ограничивают. Соответственно, прозвучал призыв к системным администраторам уделять больше внимания DNS.
Единственное, не совсем понятно, почему эта техника работы подается как новая - если не ошибаюсь, первые широко известные...

Полный текст
> http 02.08.04 09:55  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>в качестве внешнего можно использовать любой протокол - хоть
> http

1) Совершенно верно. Лично мне представляется http ещё более опасным. Вот его попробуй не разреши. ;))
В месте с тем, многое реальное, а не мифическое spyware сегодня работает именно по http. Это может быть настоящей головной болью для админов в сетках, где нет проф. антиспай проги. Легко делается "upload" данныхвинтернет по http. При этом даже паковать ничего не надо. всё совершенно легально - данные передаются при помощи команды PUT.
Особенно забавно использование фаревольных решений M$ с http. Там вдинамическихфильтрах поддерживвется только заданание прикладных протоколов. Это, конечно, хорошо. Но легко видеть вполне легальный трафик http с клиентского порта xxx, на серверные порты 12200, и т.п.;))) Если же пользоваться статическими фильтрами и задавать порт 80, то теряется вся прелесть контроля трафика по прикладным протоколам.
Таким образом единственный способ использовать эти продукты M$- сочетать их дополнительным "фареволом", стоящим впереди изделия M$. Думаю, достаточно поставить BSD c ipfw, где трафик будет пермититься только по портам, а не протоколам. Кстати, об этом говорил ещё сам M$ в доке для MS Proxy. Сам видел. Только ссылку не вспомню. Для ISA Server они уже об этом молчат, хотя проблема всё таже осталась.

2) Конечно, опытные товарищи могут меня поправить, мол, покупай майм свиппер. На это я отвечу -разумно, конечно. Но лучше я куплю нормальный фаревол ;)))

> Опасность
> использования DNS - в том, что он есть везде, и его
> практически не замечают и не ограничивают. Соответственно,
> прозвучал призыв к системным администраторам уделять больше
> внимания DNS.

1) Здесь импортный гуру ошибается. В отпуск его, либо к нам в Магадан. Роль DNS, конечно, особая c точки зрения снижения безопасности, но автор статьи не понял в чём она ;))) А дело (и опасность) вот в чём.... Помимо TCP (для передачи зон первичным серверам) DNS сервера и резольверы используют UDP. В этом-то и косяк. Для UDP нет понятия "текущая последовательность байт", а значит под видом легального трафика вполне можно хачить с 53 -го удалённого порталюбыеUDP порты клиента. Другими словами, невозможно обычными средвами определить - идёт ли разговор о трафике внешнего DNS сервера, или на 53-порту в интернете "сидит" ложный DNS-сервер, которому spyware на клиенте отдаёт непонятно что.

2) В целом опасность слегка надумана, т.к. во-первых параноики могут использовать майм свиперы (чтобы удостовериться, что UDP-трафик действительно включает DNS запросы и ответы), а во-вторых надо использовать нормальные решения, когда в горле сетки(сеток) разрешается DNS трафик только для корпоративных DNS. А уж клиентыв конторе должны обращаться только к своим корпоративным кеширующим DNS серверам, а не DNS-серверам в инет. По крайней мере, надо будет концентрироваться только на небольшом числе хостов в ДМЗ.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach