Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Обход правил iptables с использованием модулей трекинга FTP-..., opennews (?), 27-Дек-09, (0) [смотреть все] как вариант перед -m state --state ESTABLISHED,RELATED -j ACCEPT добавить прав, ро (?), 20:20 , 27-Дек-09, (1) +1 // iptables -A INPUT -p tcp -m helper --helper ftp -p tcp --dport 1024 4096 -j DR, ро (?), 11:47 , 28-Дек-09, (24) // А модуль открывает _только соединения с --sport 20 ему нельзя сказать, чтобы о, Evgeniy (??), 03:04 , 30-Дек-09, (59) // в активном ftp дата-коннект всегда идет с 20 порта, ро (?), 11:25 , 30-Дек-09, (71) это я знаю Вопрос в том, нет ли в том модуле дыры, позволяющей не с 20-го 8- , Evgeniy (??), 19:26 , 30-Дек-09, (81) Не в тему, но хорошо бы pf на линукс портировать , mitya (ok), 20:58 , 27-Дек-09, (2) –6 // вот именно, не в тему pf тут нафиг не нужен , i (??), 08:51 , 28-Дек-09, (16) Не понятно при чем тут вообще pf Действительно не в тему , User294 (ok), 10:18 , 28-Дек-09, (19) FTP вообще давно пора запретить , аноним (?), 21:03 , 27-Дек-09, (3) +1 // Действительно, удивительно дебильно сделанный протокол , User294 (ok), 10:19 , 28-Дек-09, (20) +1 Це троян Причем тут айпитаблес , Ъ (?), 21:35 , 27-Дек-09, (4) // При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт, Аноним (-), 21:55 , 27-Дек-09, (5) –1   // Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно а, аноним (?), 22:41 , 27-Дек-09, (6)   // Вот именно Вообще непонятно, в чём новость Это документированная всем известна, Просто Лось. (?), 23:40 , 27-Дек-09, (7) +1   Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не о, Антон (??), 09:54 , 28-Дек-09, (17) +1   Резюмирую, чтобы меня правильно поняли через FTP такая возможность остается, но, Антон (??), 10:02 , 28-Дек-09, (18) +1   либо вы не мыслите логически, либо читали статью по диагонали скрипт как раз нуж, ро (?), 10:36 , 28-Дек-09, (22)   Вы правы, в примере fake-server py запускается на 21 порту, web-скрипт лишь выст, Антон (??), 12:23 , 28-Дек-09, (25)   Издеваетесь Проблема в дебильной логике работы FTP протокола - айпитаблес вынуж, User294 (ok), 10:26 , 28-Дек-09, (21) // Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить Для, Ъ (?), 18:54 , 28-Дек-09, (31) // Я бы сказал, он феноменален по дебильности и архаичности его устройства Ну, в 1, User294 (ok), 10:31 , 29-Дек-09, (37) smb nfs ssh люстры с похмельем А насчет изобретения очередного велосипеда, , Ъ (?), 11:42 , 29-Дек-09, (39) Не нужна неуязвимая система Нужна система с авторизачией отправителя, позволяющ, Demo (??), 13:39 , 29-Дек-09, (40) Проблема в том, что на 95 спам рассылается ботнетами, от обычных пользователей,, Ъ (?), 19:21 , 29-Дек-09, (47) Можно привести пример немного из другой оперы Часто получаете спам на джаббер А , XoRe (ok), 00:32 , 30-Дек-09, (56) Думать не о чем - отключались головы ботнетов которые хостились в этих ДЦ Вск, аноним (?), 05:03 , 30-Дек-09, (62) gt оверквотинг удален Мой jabber не публичен, а другими im практически не поль, Ъ (?), 07:35 , 30-Дек-09, (63) Я имею в виду, в клиенте включить Не на сервере Опять же, в клиенте, не на серве, XoRe (ok), 10:32 , 30-Дек-09, (65) Как вы себе это представляете, У вас новое письмо, отгадайте загадку для его по, Ъ (?), 13:46 , 30-Дек-09, (74) Для рассылки большому количеству абоннтов есть server-side списки рассылки с под, Demo (??), 11:30 , 30-Дек-09, (72) Представьте что вы работаете в телекоме, раз в месяц вам необходимо разослать сч, Ъ (?), 14:08 , 30-Дек-09, (75) Я же сказал список рассылки по подписке Не нужно юродствовать Так чтобы короче, Demo (??), 16:03 , 30-Дек-09, (78) Что это такое Желательно с ссылкой на RFC Такие бедная контора, что не может на, Ъ (?), 16:43 , 30-Дек-09, (79) При авторизации отправителя совсем незачем блеклистить весь сервер, т к доподл, Demo (??), 01:05 , 31-Дек-09, (82) Знаете надоело То вам SMTP не нравится, то оказывается что оно ничего То вы, Ъ (?), 05:52 , 31-Дек-09, (83) Да Надоело объяснять принципы функционирования STANAG 4066 Annex E, XMPP, ACP 1, Demo (??), 11:46 , 31-Дек-09, (84) Так я в исходном посте как-раз и утверждаю, что нет необходимости в строительств, Demo (??), 11:14 , 30-Дек-09, (70) В локалке -- да Для вебсайтик залить -- да, rsync -e ssh -- лучше не придумать, Michael Shigorin (ok), 17:45 , 29-Дек-09, (44) Согласен Опять же Не, де факто сетевые файловые системы, вполне сравнимые с nfs , Ъ (?), 19:23 , 29-Дек-09, (48) 9P рулитhttp ru wikipedia org wiki 9P, andr.mobi (??), 10:43 , 30-Дек-09, (69) Что значит нечем Для чего нечем Для раздачи файлов от маленьких до больших - H, аноним (?), 15:55 , 29-Дек-09, (41) Отлично, осталось сделать только чтобы та самая пресловутая домохозяйка могла по, Ъ (?), 19:34 , 29-Дек-09, (49) Пресловутая домохозяйка FTP для закачки не пользуется по определению Для скачки, аноним (?), 15:31 , 30-Дек-09, (77) Как же она файлами то обменивается У SFTP скорость меньше полных 100MBit у меня , Ъ (?), 17:44 , 30-Дек-09, (80) Вообще-то вовсю используются HTTP который далеко не замена, но для основной цел, Michael Shigorin (ok), 17:39 , 29-Дек-09, (43) Ну собственно вы сами все написали , Ъ (?), 19:36 , 29-Дек-09, (50) sftp всмысле ftp over ssh я вообще ftp не пользуюсь, ибо дырень та еще, а вот ф, Andrew (??), 03:40 , 09-Янв-10, (85) Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям, pavlinux (ok), 00:09 , 28-Дек-09, (8) // Сразу же как их включит на гейте админ А он их включит сразу же как начнут жало, demon (??), 00:14 , 28-Дек-09, (10) // Ладно, почему состояние сети, протокола, пакета, влияет на настройку Ладно , pavlinux (ok), 02:42 , 28-Дек-09, (12) // Команды тут не причем, для гейта пакеты вполне нормальные, скрипт просто игнорир, Gra2k (ok), 03:13 , 28-Дек-09, (13) Вообще я заметил модную тенденцию в P2P сетях ed2k mule, torrent некоторые о, User294 (ok), 10:37 , 29-Дек-09, (38) В torrent е с нулём на конце тогда это мюТоррент делает, из-за ошибки в реализ, Аноним (-), 19:10 , 29-Дек-09, (46) Обычно этот по дефолту есть Чтобы ФТП работал , User294 (ok), 10:59 , 28-Дек-09, (23) Предлагаю для ясности убрать из заголовка слово iptables, Аноним (-), 00:13 , 28-Дек-09, (9) +2 Набор правил написанных невежей, следует блочить порты 49151 , вот если бы был , Gra2k (ok), 03:23 , 28-Дек-09, (14) // Дык проблема известная была то, только почему-то не думал никто о ней Решение та, Аноним (-), 05:42 , 28-Дек-09, (15) frox - прозрачный прокси-сервер для FTP, Touch (??), 14:13 , 28-Дек-09, (26) Есть идеи, как с этим бороться Я говорю про линукс в дешевых роутерах На сервера, XoRe (ok), 14:29 , 28-Дек-09, (27) // поставить открытую прошивку, например openwrt и настроить iptables , ро (?), 16:13 , 29-Дек-09, (42) // Вариант, согласен Правда, не для всех роутеров есть открытые прошивки Плюс есть , XoRe (ok), 10:36 , 30-Дек-09, (66) Да, кстати Попробую популярно объяснить, что это такое Юзер заходит браузером на, XoRe (ok), 15:06 , 28-Дек-09, (28) +3 // А брандмауэр виндовс разве не пропустит это соединение Оно же было инициирован, Huko (?), 15:42 , 28-Дек-09, (29) // Если по простому, скрипт просит сервера подключиться к нему на 445 порт Сам он у, XoRe (ok), 21:52 , 28-Дек-09, (34) Ну в домашних роутерах еще в добавок часто включен upnp, так что , Аноним (-), 16:39 , 28-Дек-09, (30) // Да вообще NAT с такими приколами - вообще не защищает , XoRe (ok), 23:05 , 28-Дек-09, (35) // Вроде нат и не для защиты нужен , const86 (ok), 18:26 , 29-Дек-09, (45) менять железки на wrt - поддерживаемые это приколы мелких коробок Закрывать, Evgeniy (??), 01:58 , 30-Дек-09, (58) А можно отрубать команду PORT, или поменять PORT на PASV , pavlinux (ok), 04:51 , 30-Дек-09, (61) А вообще ощущение, что чувак прочитал википедию Специально для работы FTP прото, Ъ (?), 20:21 , 28-Дек-09, (32) // gt оверквотинг удален проблема не только в ftp Кроме того, если раньше невозмо, Аноним (-), 05:36 , 29-Дек-09, (36) // gt оверквотинг удален С помощью товарища браузера это можно делать очень давно, Ъ (?), 19:43 , 29-Дек-09, (51) // Эх, было б ещё смешней, если б не так грустно , Michael Shigorin (ok), 21:42 , 29-Дек-09, (53) А это приколы мелких коробок Помнишь, мы как-то давно про это говорили Закрыва, Evgeniy (??), 01:56 , 30-Дек-09, (57) Но, блин, в прошивке ж есть еще пачка всяких тамhttp svn dd-wrt com 8000 dd-wr, Evgeniy (??), 03:16 , 30-Дек-09, (60) Клиент говорит серверу подключись ко мне на 445 порт Роутер клиента делает вре, XoRe (ok), 00:19 , 30-Дек-09, (54) Я подумал в сторону http secunia com advisories search search firefox сотовар, Michael Shigorin (ok), 00:25 , 30-Дек-09, (55) С одной стороны да С другой не вижу в сети массовых эпидемий, связанных с уяз, XoRe (ok), 10:41 , 30-Дек-09, (67) Что припоминалось -- точно не вспомню, но http google com search q firefox vu, Michael Shigorin (ok), 12:14 , 30-Дек-09, (73) Вариант без ftp Клиент соединяется с любого возможного порта, по любому возмо, Ъ (?), 07:50 , 30-Дек-09, (64) gt оверквотинг удален Это вариант без FTP А для варианта с FTP нужно использов, XoRe (ok), 10:41 , 30-Дек-09, (68) Если у вас завелся зверек, то уже c ftp он или нет не имеет значения В любом сл, Ъ (?), 14:13 , 30-Дек-09, (76) интересно скайп этим тоже пользуется , JL2001 (ok), 21:36 , 28-Дек-09, (33) // Нет Но он является отличным примером беспомощности межсетевого экранирования , Ъ (?), 19:47 , 29-Дек-09, (52) нет, но в атаке на Чайна Гугль - было аналогично Скайпу p s автор материала - ка, Basiley (ok), 22:00 , 19-Янв-10, (86) 1,2,3,4,8,9,14,26,27,28,32,33

Сообщения

[Сортировка по времени | RSS]

	5. "Обход правил iptables с использованием модулей трекинга FTP-..."	–1 +/–
	Сообщение от Аноним (-), 27-Дек-09, 21:55
	>>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. > >Це троян. Причем тут айпитаблес. При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от аноним (?), 27-Дек-09, 22:41
	>При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables. Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно аналогичный эффект. Так что конкретный фаервол тут не при чем.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Обход правил iptables с использованием модулей трекинга FTP-..."	+1 +/–
	Сообщение от Просто Лось. (?), 27-Дек-09, 23:40
	Вот именно. Вообще непонятно, в чём новость. Это документированная всем известная фича. Все правила всегда пишутся с учётом этих вещей. Даже примеров использования этой фичи в инете море (навскидку, вспоминается статья во phrack скольки-то летней давности на примере трекинга IRC-протокола).
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Обход правил iptables с использованием модулей трекинга FTP-..."	+1 +/–
	Сообщение от Антон (??), 28-Дек-09, 09:54
	Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не отслеживает всю цепочку при инициировании активного соединения. Одно дело когда соединиться на произвольный порт можно только после обращения к FTP, другое дело - после обращения к web-скрипту. Conntrack_ftp должен позволять выполнять обратные PORT команды только для хостов к которым до этого в течение нескольких секунд было _успешное_ обращение по 21 и только 21 порту (conntrack модуль должен отследить, что команда PORT выполнена именно в этом соединении, т.е. поймали в потоке для FTP сессии PORT x,x,x,x,y,z и разрешаем только эти "x,x,x,x,y,z"). Также conntrack_ftp не должен давать через PORT соединяться на системные номера портов ( < 1024). Поэтому, IMHO, это самая настоящая уязвимость, вызванная недальновидностью разработчиков conntrack модулей, которые не достаточно плотно вгрызаются в логику транслируемых сессий.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Обход правил iptables с использованием модулей трекинга FTP-..."	+1 +/–
	Сообщение от Антон (??), 28-Дек-09, 10:02
	Резюмирую, чтобы меня правильно поняли: через FTP такая возможность остается, но проблема именно в том, что такое сейчас можно сделать через web. Вынудить пользователя открыть web-страницу - элементарно. Заманить пользователя на FTP и выполнить нужную PORT команду - нереально.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от ро (?), 28-Дек-09, 10:36
	либо вы не мыслите логически, либо читали статью по диагонали. скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт клиента (если конечно правилами iptables это не запрещено).
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	25. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Антон (??), 28-Дек-09, 12:23
	>скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить >PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт >клиента (если конечно правилами iptables это не запрещено). Вы правы, в примере fake-server.py запускается на 21 порту, web-скрипт лишь выступает в роли ftp-клиента.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема