forum.opennet.ru

"Обход правил iptables с использованием модулей трекинга FTP-..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
Сообщение от opennews (?), 27-Дек-09, 20:20
В рассылке netfilter-devel опубликован (http://marc.info/?l=netfilter-devel&m=126190148319485&w=2) способ обхода правил фильтрации iptables с использованием модуля nf_conntrack_ftp. Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. Весь процесс происходит совершенно незаметно для пользователя и не требует каких-то особых разрешений для веб-браузера. Вкупе с модулем nf_nat_ftp, метод позволяет также получать доступ к произвольным портам хостов локальной сети, находящимися за NAT. Продемонстрированный эффект не вызван ошибкой разработчиков, а является проблемой слабо защищенной, но довольно распространенной конфигурации. Для эксплуатации уязвимости могут быть также использованы также и другие способы с другими хелперами conntrack. Рекомендуется проверить конфигурацию и/или временно отключить модули nf_conntrack_ftp, sip и подобные. Например, при использовании модуля nf_conntrack_ftp в ... URL: http://marc.info/?l=netfilter-devel&m=126190148319485&w=2 Новость: https://www.opennet.ru/opennews/art.shtml?num=24832
Ответить \| Правка \| Cообщить модератору

Оглавление

Обход правил iptables с использованием модулей трекинга FTP-..., opennews, 27-Дек-09, 20:20 [смотреть все]

как вариант перед -m state --state ESTABLISHED,RELATED -j ACCEPT добавить прав, ро, 27-Дек-09, 20:20 (1) //
- iptables -A INPUT -p tcp -m helper --helper ftp -p tcp --dport 1024 4096 -j DR, ро, 28-Дек-09, 11:47 (24) //
  - А модуль открывает _только соединения с --sport 20 ему нельзя сказать, чтобы о, Evgeniy, 30-Дек-09, 03:04 (59) //
    - в активном ftp дата-коннект всегда идет с 20 порта, ро, 30-Дек-09, 11:25 (71)
      - это я знаю Вопрос в том, нет ли в том модуле дыры, позволяющей не с 20-го 8- , Evgeniy, 30-Дек-09, 19:26 (81)
Не в тему, но хорошо бы pf на линукс портировать , mitya, 27-Дек-09, 20:58 (2) //
- вот именно, не в тему pf тут нафиг не нужен , i, 28-Дек-09, 08:51 (16)
- Не понятно при чем тут вообще pf Действительно не в тему , User294, 28-Дек-09, 10:18 (19)
FTP вообще давно пора запретить , аноним, 27-Дек-09, 21:03 (3) //
- Действительно, удивительно дебильно сделанный протокол , User294, 28-Дек-09, 10:19 (20)
Це троян Причем тут айпитаблес , Ъ, 27-Дек-09, 21:35 (4) //
- При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт, Аноним, 27-Дек-09, 21:55 (5) //
  - Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно а, аноним, 27-Дек-09, 22:41 (6) //
    - Вот именно Вообще непонятно, в чём новость Это документированная всем известна, Просто Лось., 27-Дек-09, 23:40 (7)
      - Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не о, Антон, 28-Дек-09, 09:54 (17)
        
        Резюмирую, чтобы меня правильно поняли через FTP такая возможность остается, но, Антон, 28-Дек-09, 10:02 (18)
        либо вы не мыслите логически, либо читали статью по диагонали скрипт как раз нуж, ро, 28-Дек-09, 10:36 (22)
        
        Вы правы, в примере fake-server py запускается на 21 порту, web-скрипт лишь выст, Антон, 28-Дек-09, 12:23 (25)
- Издеваетесь Проблема в дебильной логике работы FTP протокола - айпитаблес вынуж, User294, 28-Дек-09, 10:26 (21) //
  - Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить Для, Ъ, 28-Дек-09, 18:54 (31) //
    - Я бы сказал, он феноменален по дебильности и архаичности его устройства Ну, в 1, User294, 29-Дек-09, 10:31 (37)
      - smb nfs ssh люстры с похмельем А насчет изобретения очередного велосипеда, , Ъ, 29-Дек-09, 11:42 (39)
        
        Не нужна неуязвимая система Нужна система с авторизачией отправителя, позволяющ, Demo, 29-Дек-09, 13:39 (40)
        
        Проблема в том, что на 95 спам рассылается ботнетами, от обычных пользователей,, Ъ, 29-Дек-09, 19:21 (47)
        
        Можно привести пример немного из другой оперы Часто получаете спам на джаббер А , XoRe, 30-Дек-09, 00:32 (56)
        
        Думать не о чем - отключались головы ботнетов которые хостились в этих ДЦ Вск, аноним, 30-Дек-09, 05:03 (62)
        gt оверквотинг удален Мой jabber не публичен, а другими im практически не поль, Ъ, 30-Дек-09, 07:35 (63)
        
        Я имею в виду, в клиенте включить Не на сервере Опять же, в клиенте, не на серве, XoRe, 30-Дек-09, 10:32 (65)
        
        Как вы себе это представляете, У вас новое письмо, отгадайте загадку для его по, Ъ, 30-Дек-09, 13:46 (74)
        
        Для рассылки большому количеству абоннтов есть server-side списки рассылки с под, Demo, 30-Дек-09, 11:30 (72)
        
        Представьте что вы работаете в телекоме, раз в месяц вам необходимо разослать сч, Ъ, 30-Дек-09, 14:08 (75)
        
        Я же сказал список рассылки по подписке Не нужно юродствовать Так чтобы короче, Demo, 30-Дек-09, 16:03 (78)
        Что это такое Желательно с ссылкой на RFC Такие бедная контора, что не может на, Ъ, 30-Дек-09, 16:43 (79)
        При авторизации отправителя совсем незачем блеклистить весь сервер, т к доподл, Demo, 31-Дек-09, 01:05 (82)
        Знаете надоело То вам SMTP не нравится, то оказывается что оно ничего То вы, Ъ, 31-Дек-09, 05:52 (83)
        Да Надоело объяснять принципы функционирования STANAG 4066 Annex E, XMPP, ACP 1, Demo, 31-Дек-09, 11:46 (84)
        
        Так я в исходном посте как-раз и утверждаю, что нет необходимости в строительств, Demo, 30-Дек-09, 11:14 (70)
        
        В локалке -- да Для вебсайтик залить -- да, rsync -e ssh -- лучше не придумать, Michael Shigorin, 29-Дек-09, 17:45 (44)
        
        Согласен Опять же Не, де факто сетевые файловые системы, вполне сравнимые с nfs , Ъ, 29-Дек-09, 19:23 (48)
        
        9P рулитhttp ru wikipedia org wiki 9P, andr.mobi, 30-Дек-09, 10:43 (69)
    - Что значит нечем Для чего нечем Для раздачи файлов от маленьких до больших - H, аноним, 29-Дек-09, 15:55 (41)
      - Отлично, осталось сделать только чтобы та самая пресловутая домохозяйка могла по, Ъ, 29-Дек-09, 19:34 (49)
        
        Пресловутая домохозяйка FTP для закачки не пользуется по определению Для скачки, аноним, 30-Дек-09, 15:31 (77)
        
        Как же она файлами то обменивается У SFTP скорость меньше полных 100MBit у меня , Ъ, 30-Дек-09, 17:44 (80)
    - Вообще-то вовсю используются HTTP который далеко не замена, но для основной цел, Michael Shigorin, 29-Дек-09, 17:39 (43)
      - Ну собственно вы сами все написали , Ъ, 29-Дек-09, 19:36 (50)
    - sftp всмысле ftp over ssh я вообще ftp не пользуюсь, ибо дырень та еще, а вот ф, Andrew, 09-Янв-10, 03:40 (85)
Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям, pavlinux, 28-Дек-09, 00:09 (8) //
- Сразу же как их включит на гейте админ А он их включит сразу же как начнут жало, demon, 28-Дек-09, 00:14 (10) //
  - Ладно, почему состояние сети, протокола, пакета, влияет на настройку Ладно , pavlinux, 28-Дек-09, 02:42 (12) //
    - Команды тут не причем, для гейта пакеты вполне нормальные, скрипт просто игнорир, Gra2k, 28-Дек-09, 03:13 (13)
    - Вообще я заметил модную тенденцию в P2P сетях ed2k mule, torrent некоторые о, User294, 29-Дек-09, 10:37 (38)
      - В torrent е с нулём на конце тогда это мюТоррент делает, из-за ошибки в реализ, Аноним, 29-Дек-09, 19:10 (46)
- Обычно этот по дефолту есть Чтобы ФТП работал , User294, 28-Дек-09, 10:59 (23)
Предлагаю для ясности убрать из заголовка слово iptables, Аноним, 28-Дек-09, 00:13 (9)
Набор правил написанных невежей, следует блочить порты 49151 , вот если бы был , Gra2k, 28-Дек-09, 03:23 (14) //
- Дык проблема известная была то, только почему-то не думал никто о ней Решение та, Аноним, 28-Дек-09, 05:42 (15)
frox - прозрачный прокси-сервер для FTP, Touch, 28-Дек-09, 14:13 (26)
Есть идеи, как с этим бороться Я говорю про линукс в дешевых роутерах На сервера, XoRe, 28-Дек-09, 14:29 (27) //
- поставить открытую прошивку, например openwrt и настроить iptables , ро, 29-Дек-09, 16:13 (42) //
  - Вариант, согласен Правда, не для всех роутеров есть открытые прошивки Плюс есть , XoRe, 30-Дек-09, 10:36 (66)
Да, кстати Попробую популярно объяснить, что это такое Юзер заходит браузером на, XoRe, 28-Дек-09, 15:06 (28) //
- А брандмауэр виндовс разве не пропустит это соединение Оно же было инициирован, Huko, 28-Дек-09, 15:42 (29) //
  - Если по простому, скрипт просит сервера подключиться к нему на 445 порт Сам он у, XoRe, 28-Дек-09, 21:52 (34)
- Ну в домашних роутерах еще в добавок часто включен upnp, так что , Аноним, 28-Дек-09, 16:39 (30) //
  - Да вообще NAT с такими приколами - вообще не защищает , XoRe, 28-Дек-09, 23:05 (35) //
    - Вроде нат и не для защиты нужен , const86, 29-Дек-09, 18:26 (45)
- менять железки на wrt - поддерживаемые это приколы мелких коробок Закрывать, Evgeniy, 30-Дек-09, 01:58 (58)
- А можно отрубать команду PORT, или поменять PORT на PASV , pavlinux, 30-Дек-09, 04:51 (61)
А вообще ощущение, что чувак прочитал википедию Специально для работы FTP прото, Ъ, 28-Дек-09, 20:21 (32) //
- gt оверквотинг удален проблема не только в ftp Кроме того, если раньше невозмо, Аноним, 29-Дек-09, 05:36 (36) //
  - gt оверквотинг удален С помощью товарища браузера это можно делать очень давно, Ъ, 29-Дек-09, 19:43 (51) //
    - Эх, было б ещё смешней, если б не так грустно , Michael Shigorin, 29-Дек-09, 21:42 (53)
      - А это приколы мелких коробок Помнишь, мы как-то давно про это говорили Закрыва, Evgeniy, 30-Дек-09, 01:56 (57)
      - Но, блин, в прошивке ж есть еще пачка всяких тамhttp svn dd-wrt com 8000 dd-wr, Evgeniy, 30-Дек-09, 03:16 (60)
    - Клиент говорит серверу подключись ко мне на 445 порт Роутер клиента делает вре, XoRe, 30-Дек-09, 00:19 (54)
      - Я подумал в сторону http secunia com advisories search search firefox сотовар, Michael Shigorin, 30-Дек-09, 00:25 (55)
        
        С одной стороны да С другой не вижу в сети массовых эпидемий, связанных с уяз, XoRe, 30-Дек-09, 10:41 (67)
        
        Что припоминалось -- точно не вспомню, но http google com search q firefox vu, Michael Shigorin, 30-Дек-09, 12:14 (73)
      - Вариант без ftp Клиент соединяется с любого возможного порта, по любому возмо, Ъ, 30-Дек-09, 07:50 (64)
        
        gt оверквотинг удален Это вариант без FTP А для варианта с FTP нужно использов, XoRe, 30-Дек-09, 10:41 (68)
        
        Если у вас завелся зверек, то уже c ftp он или нет не имеет значения В любом сл, Ъ, 30-Дек-09, 14:13 (76)
интересно скайп этим тоже пользуется , JL2001, 28-Дек-09, 21:36 (33) //
- Нет Но он является отличным примером беспомощности межсетевого экранирования , Ъ, 29-Дек-09, 19:47 (52)
- нет, но в атаке на Чайна Гугль - было аналогично Скайпу p s автор материала - ка, Basiley, 19-Янв-10, 22:00 (86)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру