| View previous topic :: View next topic |
| Author |
Message |
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
 Posted: Sat Jun 04, 2005 11:35 am Post subject: |
 |
|
| k.gothmog wrote: | | X-Drum wrote: | | Una cosa simpatica sarebbe stata quella di mettere su una sorta di "emulatore" che so un UML |
guarda qua: http://www.honeynet.org/ |
nooooooooooo perche' lo hai fatto!!!!!!!!!!
adesso passero' giornate intere a pistolare su questo progetto :d
veramente bello!
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
 |
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 04, 2005 11:40 am Post subject: |
|
|
| X-Drum wrote: | | k.gothmog wrote: | | X-Drum wrote: | | Una cosa simpatica sarebbe stata quella di mettere su una sorta di "emulatore" che so un UML |
guarda qua: http://www.honeynet.org/ |
nooooooooooo perche' lo hai fatto!!!!!!!!!!
adesso passero' giornate intere a pistolare su questo progetto :d
veramente bello! |
scusa
mi segnerò di non mandarti mai più un link  |
|
| Back to top |
|
|
thewally
l33t
Joined: 12 May 2005
Posts: 703
Location: Genova
|
| Posted: Sat Jun 04, 2005 12:20 pm Post subject: |
|
|
| lotti wrote: | piccolo OT
ma invece di rompere i cojoni sti qua che non hanno nulla da fare perche' non si staccano dal pc e vannoa fighe? : | |
Di fatti sono gia' occupati in siffatta maniera: lo scan e' AUTOMATICO !!! |
|
| Back to top |
|
|
dboogieman
Apprentice
Joined: 02 Oct 2004
Posts: 197
|
| Posted: Tue Jun 07, 2005 2:59 pm Post subject: |
|
|
Ciao a tutti concordo con la difficolta' di poter prendere risoluzioni a tentativi "robot" di login a daemon ssh...a maggior ragione se da whois del IP sorgente magari rispondono IP asiatici (premetto che non ho nessun genere di pregiudizo geografico io per primo infatti mi reputo figlio della terra...e poi l'uomo che inventato i confini geografici..).
In questi casi io dal whois rilevo il possibile indirizzo di abuse, e magari gli scrivo una mail allegandogli alcune righe del log che evidenziano il genere di attivita' di traffico..quanto meno capiscono che c'e' qualcuno che si legge i log e non e' del tutto uno sprovveduto...potrebbe bastargli a girargli alla larga...se posso aggiungere un po' di ironia  quella di staccarsi dal PC ed andare un po' a fighe mi ha fatto ridere di gusto...grandi tutti, come al solito!!!
Ciao
dboogieman |
|
| Back to top |
|
|
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Thu Jun 09, 2005 7:55 pm Post subject: |
|
|
scusate uppo un attimo trovandomi anch'io nella suddetta situazione.
Vorrei sapere una cosa, magari c'è qualcuno che lo sa: dove si può trovare un bot che fa questo mestiere per studiarne il codice?
Soprattutto capire che genere di vulnerabilità usa sulle macchine attaccate.
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Thu Jun 09, 2005 9:34 pm Post subject: |
|
|
| alexerre wrote: | scusate uppo un attimo trovandomi anch'io nella suddetta situazione.
Vorrei sapere una cosa, magari c'è qualcuno che lo sa: dove si può trovare un bot che fa questo mestiere per studiarne il codice?
|
Credo che se fai una ricerca su google ne trovi a decine.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
Hrk
Tux's lil' helper
Joined: 24 May 2003
Posts: 90
Location: Rome, Italy
|
| Posted: Fri Jun 10, 2005 12:30 pm Post subject: Security through obscurity? |
|
|
Scusatemi... ma come mai la risposta più comune (anzi, l'unica che ho visto) a questo problema è del tipo "Security through obscurity", ovvero "sposta il port di SSH altrove"?!?
Non vorrei attirarmi le vostre antipatie, ma è un metodo veramente del piffero!
Spostare il port ti mette al sicuro da quegli scan automatici _mirati_ sul port di default... ma se per qualche motivo un malintenzionato un attimino più furbo fa un port scan totale della macchina, ecco che avere spostato il port non serve più a niente...
Avete un server SSH in piedi e avete paura dei malintenzionati? Bene: autenticazione unicamente mediante chiave pubblica/privata (con passPHRASE se temete la chiave privata possa venirvi rubata).
Ho più di un server acceso su port 22, ricevo i port scan come voi, ma qualsiasi tentativo di connessione viene ucciso prima ancora di inserire la password (visto che tale accesso è disabilitato).
Generare una coppia di chiavi pubblica/privata è banale e si può fare anche con Windows, infatti amministro il mio server sia quando sono sulla mia workstation (Gentoo), che sul portatile (Mac OS X) che altrove (Windows + chiavetta usb, la chiave in questo caso ha una bella passphrase ovviamente). |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Fri Jun 10, 2005 12:41 pm Post subject: Re: Security through obscurity? |
|
|
| Hrk wrote: | Scusatemi... ma come mai la risposta pi� comune (anzi, l'unica che ho visto) a questo problema � del tipo "Security through obscurity", ovvero "sposta il port di SSH altrove"?!?
Non vorrei attirarmi le vostre antipatie, ma � un metodo veramente del piffero!
Spostare il port ti mette al sicuro da quegli scan automatici _mirati_ sul port di default... ma se per qualche motivo un malintenzionato un attimino pi� furbo fa un port scan totale della macchina, ecco che avere spostato il port non serve pi� a niente...
Avete un server SSH in piedi e avete paura dei malintenzionati? Bene: autenticazione unicamente mediante chiave pubblica/privata (con passPHRASE se temete la chiave privata possa venirvi rubata).
Ho pi� di un server acceso su port 22, ricevo i port scan come voi, ma qualsiasi tentativo di connessione viene ucciso prima ancora di inserire la password (visto che tale accesso � disabilitato).
Generare una coppia di chiavi pubblica/privata � banale e si pu� fare anche con Windows, infatti amministro il mio server sia quando sono sulla mia workstation (Gentoo), che sul portatile (Mac OS X) che altrove (Windows + chiavetta usb, la chiave in questo caso ha una bella passphrase ovviamente). |
quoto. Sono dell'idea che nascondere serve a poco. Io però ho comunque nascosto i miei servrer ssh ad indirizzi che non sono quelli specificati. Perché? Almeno chi mi fa un port scan non vede la porta aperta e non mi fa 2000 tentativi (che sicuramente falliranno) per tentare di trovare user e password.
Non ho aumentato la sicurezza, ma ho solo evitato di avere i log sporchi di tententativi "naive" di user/password discovery.
ciao
_________________
RTFM!!!!
e
http://www.comio.it
 |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Fri Jun 10, 2005 12:54 pm Post subject: |
|
|
secondo me la cosa migliore e' usare un bel knock-knock protocol...
cosi' la porta e' proprio chiusa!
_________________
while True:Gentoo() |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Fri Jun 10, 2005 1:14 pm Post subject: |
|
|
si ma il knock ti costringe ad avere un client di knock installato sul pc da cui ti connetti... non sempre è possibile 
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Fri Jun 10, 2005 1:36 pm Post subject: |
|
|
| Cazzantonio wrote: | | si ma il knock ti costringe ad avere un client di knock installato sul pc da cui ti connetti... non sempre � possibile |
io credo che i vari knock siano solo un aumento di complessità , ma non di sicurezza (almeno significativi). Se si ha ssh recente, e si usano dei semplici accorgimenti (password non banale, per esempio) si ha una degna sicurezza.
L'unica cosa (lo ripeto) che mi porta ad occultare ssh è quello di evitare la miriade di tentativi: banda sprecata inutilmente. Però questo non vuol dire che aumento la sicurezza.
Poi propongo questo aumento di complessità : due ssh! Mi spiego. Il primo accedibile solo dall'esterno sulla porta che volete è chrootato. Il secondo accetta solo connessioni locali. Quindi, prima di avere una shell utilizzabile, bisogna loggarsi nella gabbia chroot e poi fare ssh sulla porta locale. Ovviamente nella gabbia, bisgno lasciare solo ssh, impedire la scrittura su disco, non mettere servizi o subsystems (tipo sftp), e le regole iptables devono permettere solo l'ssh sulla porta locale.
EDIT: versione2. Non metto l'ssh nella gabbia chroot, ma obbligo all'uso di un portforwarding. Quindi il login diventa:
| Code: |
$ ssh -k -N -L $localport:localhost:$chrootsshport $utenteinchroot@$miamacchina
$ ssh -p $localport $utentenoninchroot@localhost
|
Dopo questo casino, secondo voi quanto è aumentata la sicurezza? Secondo me non molto, ma volevo scrivere questa idea per aumentare l'entropia.... ops.... sicurezza.
Poi, una cosa, ma avete dati così critici sulle vostre macchine?
ovviamente imho.
comio
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Fri Jun 10, 2005 1:47 pm Post subject: |
|
|
| comio wrote: | | Cazzantonio wrote: | | si ma il knock ti costringe ad avere un client di knock installato sul pc da cui ti connetti... non sempre � possibile |
io credo che i vari knock siano solo un aumento di complessità , ma non di sicurezza (almeno significativi). Se si ha ssh recente, e si usano dei semplici accorgimenti (password non banale, per esempio) si ha una degna sicurezza.
|
Non sono d'accordo
nascondere la porta e' un ottimo sistema.
Se usi un knock protocol semplice ti basta una shell (o prompt dei comandi) per aprirti la porta.
Esistono diverse implementazioni ma anche quella + blanda in termini di sicurezza gia' taglia via la maggior parte dei tentativi.
E' ovvio che sotto deve esserci un server aggiornato. (non metto knock knock su un server ssh vecchio di 5 anni  )
@comio: i dati sono decisamenti privati! (sia sulla mia macchina che su quelle delle varie aziende!)
_________________
while True:Gentoo() |
|
| Back to top |
|
|
Hrk
Tux's lil' helper
Joined: 24 May 2003
Posts: 90
Location: Rome, Italy
|
| Posted: Fri Jun 10, 2005 3:05 pm Post subject: |
|
|
| xchris wrote: |
Non sono d'accordo
nascondere la porta e' un ottimo sistema. |
L'autore del Port Knocking si rivolterebbe nella tomba se te lo sentisse dire! Ah no, è ancora vivo.
Lo dice lui stesso: il port knocking, se usato come unico meccanismo di sicurezza, è solo fumo negli occhi.
Nascondere il port è un ottimo sistema per evitare lo "sporcarsi" dei log, come diceva comio, ma non per avere sicurezza. Per avere sicurezza restringi l'accesso al solo uso di chiavi asimmetriche e, magari, cambiale ogni 6 mesi (se hai dati così sensibili da richiedere una sicurezza estrema).
Col port knocking non puoi evitare che qualcuno riesca a catturare la sequenza dei pacchetti della "bussata" e quindi replicarla. Col port knocking ED ANCHE le chiavi, il malintenzionato può anche leggerti la sequenza di knock, ma non è in grado di falsificarti una chiave privata! |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Fri Jun 10, 2005 3:32 pm Post subject: |
|
|
| Hrk wrote: | | xchris wrote: |
Non sono d'accordo
nascondere la porta e' un ottimo sistema. |
L'autore del Port Knocking si rivolterebbe nella tomba se te lo sentisse dire! Ah no, � ancora vivo.
Lo dice lui stesso: il port knocking, se usato come unico meccanismo di sicurezza, � solo fumo negli occhi.
Nascondere il port � un ottimo sistema per evitare lo "sporcarsi" dei log, come diceva comio, ma non per avere sicurezza. Per avere sicurezza restringi l'accesso al solo uso di chiavi asimmetriche e, magari, cambiale ogni 6 mesi (se hai dati cos� sensibili da richiedere una sicurezza estrema).
Col port knocking non puoi evitare che qualcuno riesca a catturare la sequenza dei pacchetti della "bussata" e quindi replicarla. Col port knocking ED ANCHE le chiavi, il malintenzionato pu� anche leggerti la sequenza di knock, ma non � in grado di falsificarti una chiave privata! |
se i dati sono realmente sensibili, per legge, le chiavi andrebbero cambiente ogni 3 mesi (Allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza - Dlgs 196/03 e successivi aggiornamenti).
Poi io consiglio sempre di mantenere due livelli di protezione. Uno a livello di sistema (ssh con chiavi e tutto quello che volete), l'altro a livello di dati (fs/archivi crittati in modo forte).
comio
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
.:deadhead:.
Advocate
Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy
|
| Posted: Fri Jun 10, 2005 10:18 pm Post subject: |
|
|
tante idee, alcune simpatiche da implementare ma IMHO la soluzione più pulita è stata suggerità post e post fà : SWATCH [indicato da fonderia] in pratica si passa in rasseggna i log e quando becca qualche rompipalle gli crea una regolina ad hoc sul FW della macchina.
Cmq io non ci vedo nulla di scandaloso ad avere ssh su una porta a muzzo: se così facendo mi evito il 90% [stando bassi] dei rompipalle, spiegatemi quali potrebbero esser le controindicazioni
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Fri Jun 10, 2005 11:15 pm Post subject: |
|
|
| Hrk wrote: |
L'autore del Port Knocking si rivolterebbe nella tomba se te lo sentisse dire! Ah no, è ancora vivo.
|
ma chi sta dicendo che sotto non debba esserci cmq un sistema con chiavi e quanto altro?
Quando mai ho detto che il knock knock protocol e' sufficiente? mah
E' decisamente sottointeso che il server ssh sotto debba essere sempre aggiornato e volendo anche con l'utilizzo di chiavi (se si e' paranoici)
IMHO nascondere la porta e' un ottimo passo! e taglia il 99% degli attacchi. (perche' spesso sono solo randomici e non mirati)
L'analisi dei log e' non per ultimo un requisito indispensabile.
ciao
EDIT:se proprio vogliamo essere paranoici ci sono protocolli di knock knock ancora + avanzati che non usano il solo toc toc su delle porte....
_________________
while True:Gentoo() |
|
| Back to top |
|
|
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Fri Jun 10, 2005 11:30 pm Post subject: |
|
|
posso dire una cosa?!
i tentativi di intrusione che in questo periodo vanno di moda attraverso ssh sono riservati solo alla versione 1 (vero?)
quindi avendo ssh only su vers. 2 e sufficientemente aggiornato - ovviamente con una password seria - cosa c'è da temere?
@comio: mi secca che qualcuno penetri sulla mia macchina e mi usi per altri scopi.
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Sat Jun 11, 2005 12:42 am Post subject: Re: Security through obscurity? |
|
|
| Hrk wrote: | Scusatemi... ma come mai la risposta più comune (anzi, l'unica che ho visto) a questo problema è del tipo "Security through obscurity", ovvero "sposta il port di SSH altrove"?!?
Non vorrei attirarmi le vostre antipatie, ma è un metodo veramente del piffero!
|
il suddetto metodo del pifferova benissimo per attacchi del piffero...
e cmq è la prima regola da seguire (quando si puo' fare ovvio)
non usare le porte standard per alcuni servizi.
Dopo circa un mese posso affermare che gli unici accessi contenuti
nel log ssh del mio sistema sono quelli miei o di persone autorizzate
da me
| xchris wrote: | IMHO nascondere la porta e' un ottimo passo! e taglia il 99% degli attacchi. (perche' spesso sono solo randomici e non mirati)
L'analisi dei log e' non per ultimo un requisito indispensabile.
|
jawol! quoto & ripeto: dato che sono pigro ero rimasto sulla 22 solo per
evitare di passare il parametro -p N ma essere pigro sulla mia macchina
è un lusso che spero mi possa concedere 
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Sat Jun 11, 2005 5:30 am Post subject: |
|
|
@X-Drum:
Premesso che anch'io ero restio al cambiare porta di ssh, puoi sempre modificare il .bashrc del pc che utilizzi di solito per collegarti al tuo e metterci un bel:
| Code: | | alias ssh='ssh -p tuaporta' |
Cosi' ti basta dare ssh come prima!!!
Scherzi a parte....... qualcuno ha mai sentito/provato il port-knocking???? Sembra interessante e mi piacerebbe provarlo, se solo sapessi che non mi sporca in maniera indecente i file di log!
Esperienze 
Thanxxx
Ciriciao
mouser |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Sat Jun 11, 2005 9:09 am Post subject: Re: Security through obscurity? |
|
|
La sicurezza è un compromesso e dal momento che lo scopo in questo è quello di tagliare fuori molti scan automatici, credo che il metodo della porta alta sia una soluzione (sicuramente non l'ottimo del problema) buona se paragonata al livello medio di chi effettua la scansione.
Si potrebbe stare a discutere per giornate intere, ma andremmo a finire sempre alla stessa conclusione, quanti livelli di sicurezza dovrei implementare? E se ne implemento 'n-1' non è possibile che ne esista un n-esimo?
Una buona soluzione protrebbe essere quello di permettere l'accesso solo ad un IP con chiavi. Ma questo comporterebbe di accettare il "compromesso" (notare la parola compromesso ) tra sicurezza ed usabilità; ovvero e se per una volta necessito di accedere a quella macchina da un altro IP per un intervento urgente, come risolvo il problema.
Questa è la mia personale opinione da sistemista niubbo, quindi ovviamente può non essere condivisa da molti
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Sat Jun 11, 2005 9:42 am Post subject: |
|
|
...
derresto la sicurezza è un processo, non un meccanismo. E come ogni processo deve essere seguito in ogni passo della sua evoluzione
Ripropongo la mia domanda: questi tool di scan automatici si avvalgono della vulnerabilità di ssh1 e tentano un brute force basato su dizionario?
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sat Jun 11, 2005 9:59 am Post subject: |
|
|
@mouser: ma... i miei post li hai letti? ciao
@gutter:
concordo.
Se la vogliamo dire tutta il thread era iniziato parlando di attacchi ripetuti su ssh eseguiti in modo automatico e molto "dumb".
ovvero... il port knocking risolve già al 100% checche se ne dica.
E' OVVIO che se l'attacco e' mirato e' necessario disporre di un server ssh aggiornato.(cosa che controllo regolarmente)
Utilizzare la password e basta?
Come evidenziato da comio qualche post su utilizzare le chiavi presenta dei notevoli vantaggi.
Purtroppo presenta anche qualche inconveniente. (dimenticanza chiave...,perdita chiave se senza passphrase)
Usare la password e' un buon sistema se il server e' AGGIORNATO e la password non e' "pippo".
(amo questo forum perche' in alcuni thread mi viene detto che il firewall e' inutile...in altri mi viene detto che per fare un accesso ssh serve la scansione della retina,riconoscimento vocale, e devo fare tre salti in avanti seguiti da capriola )
_________________
while True:Gentoo() |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Sat Jun 11, 2005 10:01 am Post subject: |
|
|
| alexerre wrote: |
Ripropongo la mia domanda: questi tool di scan automatici si avvalgono della vulnerabilità di ssh1 e tentano un brute force basato su dizionario? |
In genere questi tool o cercano vulnerabilità note, o provano dei brute force basati su dizionario.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 11, 2005 10:57 am Post subject: |
|
|
| per chi fosse interessato, o volesse partecipare, sto buttando giù uno scriptino che fa un meraviglioso route kill |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Sat Jun 11, 2005 12:59 pm Post subject: |
|
|
| xchris wrote: | | @mouser: ma... i miei post li hai letti? ciao |
hmmm..... mi sa che i prossimi giorni evitero' il forum alle 7 del mattino......
Sono troppo ri******to
Sorry.
Ciriciao
mouser |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
