forum.opennet.ru

"Уязвимость, позволяющая вклиниваться в TCP-соединения, осуще..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость, позволяющая вклиниваться в TCP-соединения, осуще..."	+/–
Сообщение от Аноним (185), 15-Дек-19, 12:04
> Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Примерно ~15 лет назад данная техника атаки на шифрованные тунели была разработана и опубликована мною лично на одном украинском форуме. И другой человек, с этого украинского форума, предложил патч для выравнивания всех пакетов тунеля до MTU. Там же предлагали защиту с помощью сетевого экрана.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость, позволяющая вклиниваться в TCP-соединения, осуще..., opennews, 06-Дек-19, 13:49 [смотреть все]

Для IPv4 атака возможна в случае перевода rp_filter в режим Loose sysctl ne, Аноним, 06-Дек-19, 13:49 (1) //
- И в этом тоже systemd виноват , A.Stahl, 06-Дек-19, 13:55 (3) //
  - тут налицо вина сисдамина , Аноним, 06-Дек-19, 14:04 (7) //
    - Да, можно и тае сказать А вот не надо было идти на поводу , Аноним, 06-Дек-19, 14:05 (9)
  - А разве нет Почитайте текст в оригинале Таки да , Аноним, 06-Дек-19, 14:04 (8)
  - notabug, closed , Поцтеринг, 06-Дек-19, 14:08 (13)
  - Угу, ожидаемое следствие когда решения о настройках по умолчанию принимают дилет, Аноним, 06-Дек-19, 14:47 (29) //
    - Ну так где были не дилетанты Вы же, не дилетанты, знали что вот-вот в режиме Lo, A.Stahl, 06-Дек-19, 14:57 (37)
      - Потому что я не нанимался тестировщиком systemd, Аноним, 06-Дек-19, 15:02 (39)
      - По умолчанию должен быть сторогий режим Админ на свой стах и риск может понижат, Аноним, 06-Дек-19, 15:24 (48)
        
        И ведь действительно, в GRUB же дистрибутивы не приписывают по-умолчанию отключе, Андрей, 07-Дек-19, 04:09 (144)
      - Не-дилетанты используют Икспишечку , Anonymoustus, 06-Дек-19, 18:41 (94)
        
        Windows XP has implemented the weak host model RFC1122 on IPv4, Аноним, 08-Дек-19, 09:49 (163)
        
        И , Anonymoustus, 08-Дек-19, 18:22 (165)
        
        Может еще и IE6 А то у меня как раз в бэкапах эксплойт для активиксов нашелся , Аноним, 11-Дек-19, 05:15 (182)
        
        Давай Я его запущу и покажу результат , Anonymoustus, 11-Дек-19, 07:30 (184)
      - ХЗ, лично мне казалось очевидным, что любой режим, кроме strict, это по умолчани, anonymous, 06-Дек-19, 20:53 (106)
        
        И по этому режим по умолчанию сначала был strict Но потом его сменили на loose,, annomaus, 06-Дек-19, 22:27 (114)
        
        И чем же, спрашивается, это лучше десяточки от Майкрософта Такое же отношение в , Аноним, 07-Дек-19, 02:58 (141)
  - Да, это явно внедряемая уязвимость с расчётом на то, что большинство пользовател, Аноним, 06-Дек-19, 15:25 (49)
  - Уточним в этом виноваты создатели системды , Anonymoustus, 06-Дек-19, 18:40 (93)
  - Нет, авторы его концепции - что пироги и сапоги может строгать один комбайнер , КО, 09-Дек-19, 10:01 (169)
- Систамм да стал использовать балансировку нагрузки по умолчанию или что Есть же, dfhdh, 06-Дек-19, 21:13 (110)
- А ничего, что в системах, не использующих systemd, rp_filter вообще 0, т е выкл, Rootlexx, 06-Дек-19, 21:42 (112) //
  - И как это оправдывает авторов systemd , Аноним, 07-Дек-19, 01:17 (129) //
    - А при чём здесь вообще systemd Уязвимость в systemd - нет, не в systemd Значе, Rootlexx, 07-Дек-19, 01:32 (132)
      - если я неткатом проброшу 23й порт напрямую в рутовый шел - это уязвимость в netc, пох., 07-Дек-19, 02:09 (136)
        
        В дистрибутивах, не использующих systemd, используется как раз конфигурация ядра, Rootlexx, 07-Дек-19, 02:18 (137)
        
        grep rp_filter etc sysctl conf net ipv4 conf all rp_filter 1таким, примерно , пох., 07-Дек-19, 02:33 (139)
        
        Сначала заявили про безопасную конфигурацию ядра по умолчанию, а теперь вдруг , Rootlexx, 07-Дек-19, 02:39 (140)
        Оговорка нужная Чтоб вы понимали, анонимы, почему я говорю, что пох знаёт вс, Anonymoustus, 07-Дек-19, 08:24 (147)
        
        openSUSE Почему-то systemd не помешал мэйнтейнеру поменять значение на Strict , Darth Revan, 08-Дек-19, 19:30 (166)
        
        Системда помешала SUSE жить и развиваться Конвульсии вызывают сожаления и взыва, Anonymoustus, 08-Дек-19, 20:11 (167)
        
        Пруфы буду про конвульсии А пока я вижу, что в Сусе пакеты новее, чем в Дебиане, Аноним, 09-Дек-19, 15:53 (177)
        
        ERROR Peer certificate cannot be autentificated with known CA certificates 60, Anonymoustus, 09-Дек-19, 17:06 (178)
        ЗЫThese products have reached their end of general supportand thus do not provid, Anonymoustus, 09-Дек-19, 17:11 (179)
      - Для систем на которых поднят vpn некорректно, причем systemD в курсе подняты они, КО, 09-Дек-19, 10:07 (170)
        
        Аргументируйте, почему rp_filter 0 корректно, а более строгое rp_filter 2 , Rootlexx, 11-Дек-19, 06:39 (183)
- https github com systemd systemd commit 230450d4e4f - описание, зачем была сде, mikhailnov, 07-Дек-19, 11:20 (150) //
  - Это когда гребёшь на работе с ноута подключённого кабелем, затем отключаешь его , Аноним, 07-Дек-19, 12:54 (154)
А как они получают ключ, длинной, например, 2048 бит , ведь openvpn по сути это, Адекват, 06-Дек-19, 13:50 (2) //
- В том-то и дело, что ни ключ, ни логин-пароль не нужны Пакет прилетает из внешн, Аноним, 06-Дек-19, 13:56 (4) //
  - Но тогда причем тут ВПН, если точно так же можно подделать ТСП и без ВПНа но , Аноним, 06-Дек-19, 14:09 (14) //
    - vpn тут притом, что траффику из vpn а обычно доверяют речь, если что, Васян, не, пох., 06-Дек-19, 14:22 (20)
      - Почему 171 наивно 187 , Аноним, 06-Дек-19, 14:49 (30)
  - то есть если vpn основан на udp а не на tcp - данный метод не сработает Вообще , Адекват, 06-Дек-19, 14:12 (16) //
    - сработает Подделать можно - только udp, тот что внутри vpn - для tcp слишком мн, пох., 06-Дек-19, 14:25 (24)
- Они пишут сразу в декодированный канал, что там н6а уровне шифрования им фиолето, КО, 09-Дек-19, 10:12 (171)
насколько понимаю, на BSD со включенным в pf antispoof - работать не будет, а в, Аноним, 06-Дек-19, 14:00 (5)
Не увидел бага Это особенность Rp filter отключается только на маршрутизаторах , Аноним, 06-Дек-19, 14:00 (6) //
- полагаю, стильномодномолодёжные девляпсы не поймут , Аноним, 06-Дек-19, 14:06 (10)
- у нормальных людей это брандмауером прикрывается на этапе проектирования а те к, Аноним, 06-Дек-19, 14:07 (12) //
  - нет идеальных людей не одно, так другое кто-то доверяет провайдерским шлюза, ll, 06-Дек-19, 18:03 (87) //
    - идеальных людей нет но есть пока еще квалифицированные специалисты , Аноним, 06-Дек-19, 18:38 (91)
      - нету В смысле, в IT - уже нету Кинолога одного знаю , пох., 07-Дек-19, 02:00 (135)
- Это дефолтная фишка systemd -- поднаcрать там где не ждали , Аноним, 06-Дек-19, 14:23 (23) //
  - Ох, как я с Вами согласен , Аноним, 06-Дек-19, 14:51 (32)
  - Теперь даже до FreeBSD, OpenBSD, macOS, iOS и другие Unix-подобные системы, Andrey Mitrofanov_N0, 06-Дек-19, 14:55 (36) //
    - Для этого, а точнее не только этого, а и много чего еще например не давать св, nuclight, 06-Дек-19, 15:39 (51)
      - и - для любителей last match, хитрых policy NAT ов и гигантских таблиц - antispo, Аноним, 06-Дек-19, 17:33 (78)
        
        ipfw show 124 grep anti00010 14 882 deny ip from any to any not, Аноним, 06-Дек-19, 19:29 (97)
что у вас за устаревшая немодная вонючая портянка в конце текста и что она вообщ, пох., 06-Дек-19, 14:07 (11) //
- Значит она пока не такая прекрасная, как хотелось бы , dimqua, 06-Дек-19, 14:17 (18) //
  - в соседней новости с вами не согласны - скормил, чисто поржать Результат, в о, пох., 06-Дек-19, 15:02 (40)
- О, ДеВоПсЫ подтянулись , Nadanon, 06-Дек-19, 15:49 (53) //
  - девопсы правила фиревола руками не пишут - у них на то доскер в доскере под упра, пох., 06-Дек-19, 16:04 (56) //
    - У правильного девопа вообще нет фаерволапотому как это не задача девопса вообще,, привет, 09-Дек-19, 11:34 (172)
      - дык, у самого монга такая же Если ее закрыть - она, внезапно, и работать не буд, пох., 09-Дек-19, 11:43 (173)
        
        вот это дельная вещь - допишу в ТЗ коллегама то чот у них не запускается монга-т, привет, 09-Дек-19, 12:51 (175)
  - ДевоПсы Сначала РедхатОвцы а потом и ДебианОвцы , Аноним, 07-Дек-19, 12:45 (153)
- Сам iptables по умолчанию работает через nftables, если дистрибутив явно не взял, Darth Revan, 06-Дек-19, 16:36 (65) //
  - Выгляди отвратительно, три строки вместо одной, постоянное дублирование слов ip , Аноним, 07-Дек-19, 01:23 (131) //
    - Таблицы и цепи сами собой не возникают, как на iptables, да В nft list ruleset о, Darth Revan, 07-Дек-19, 03:45 (143)
cat proc sys net ipv4 conf all rp_filter 0Проклятый системдос И до openwrt д, Аноним, 06-Дек-19, 14:11 (15) //
- openwrt это маршрутизатор с поддержкой ассимитричного трафика, Аноним, 06-Дек-19, 14:53 (34) //
  - а ведь некоторые, не будем показывать пальцем, тащат на него openvpn , пох., 06-Дек-19, 15:03 (41)
- Системдос выставляет значение 2 , Аноним, 06-Дек-19, 15:06 (45) //
  - 2 8212 это там, где он установлен , Аноним, 06-Дек-19, 15:35 (50)
- а меня 1, Аноним, 06-Дек-19, 16:30 (64)
- CentOS 7cat proc sys net ipv4 conf all rp_filter1Fedora 30cat proc sys net ipv, хотел спросить, 07-Дек-19, 00:30 (127)
я только не понял, с rp_filter 0 оно работает или нет , Аноним, 06-Дек-19, 14:13 (17) //
- А самому попробовать первую стадию определение локального адреса VPN ну вообще, Аноним, 06-Дек-19, 14:20 (19)
- насколько понял, если вы сидите из мухосранска где только ipv4 - настройки rp_fi, Аноним, 06-Дек-19, 14:22 (21) //
  - а если ipv6 недоступен внутри тунеля если у меня в openVPN только ipv4 , хотел спросить, 07-Дек-19, 03:28 (142)
- походу тебя поимеют, Аноним, 06-Дек-19, 16:37 (66)
Слишком надуманоЯ правильно понимаю, что включение strict приведёт к проблемам с, Нанобот, 06-Дек-19, 14:28 (25) //
- включение strict будет проверять, что отправитель и адресат совпадают, так сказа, Аноним, 06-Дек-19, 14:35 (28) //
  - адресат и получатель же, Аноним, 06-Дек-19, 14:50 (31)
- нет, неправильно Проверяется _reverse_path , пох., 06-Дек-19, 15:04 (43)
ребята, объясните - правильные параметры выставляются черезsudo sysctl -w net i, Нуб, 06-Дек-19, 14:32 (26) //
- 147- Enables source route verification148 net ipv4 conf default rp_filter 114, Аноним, 06-Дек-19, 14:51 (33) //
  - на манжаре вообще нет этого файла , Аноним, 06-Дек-19, 15:03 (42) //
    - Его надо создать Ну или run sysctl d conf etc sysctl d conf , Аноним, 06-Дек-19, 15:05 (44)
      - etc sysctl d 100-manjaro conf имеется С единственной записью vm swappiness 1, Аноним, 06-Дек-19, 18:39 (92)
        
        Какие кошмарные дефолты, впрочем, в рачике всё нужно настраивать самому Можно с, Аноним, 07-Дек-19, 01:44 (134)
Operating Systems Affected Here is a list of the operating systems we have tes, Аноним, 06-Дек-19, 14:33 (27) //
- Devuan опасносте 128561 А в коментариях выше местные иксперды уже пришли к выв, Нанобот, 06-Дек-19, 14:54 (35) //
  - А о чём вы спорите Там где systemd 8212 это решение принимал systemd, это же, Аноним, 06-Дек-19, 14:58 (38)
- OpenBSD - Only two remote holes in the default install, in a heck of a long time, Olololo, 06-Дек-19, 16:56 (70) //
  - бгг фраза звучит довольно фальшиво уже как несколько лет , но фанатики хавают, ll, 06-Дек-19, 17:35 (79) //
    - Вы знаете, а я почему-то полагал, что люди её применяют - после тщательного анал, Аноним, 06-Дек-19, 18:07 (88)
      - ну вон перечитай жизенный путь одного местного, гхм нефанатика, изложенный ча, пох., 06-Дек-19, 19:42 (100)
        
        Напомнить, как после обнародования уязвимости Spectre в процессорах только у Ope, Olololo, 06-Дек-19, 20:30 (103)
        
        Десяточку, вестимо , Anonymoustus, 06-Дек-19, 21:13 (111)
        лолшта spectre не имеет отношения к героической поебде над гипертредингом, с ко, пох., 06-Дек-19, 22:44 (115)
        
        Бред не неси Причём тут Meltdown Я где-то про него писал Может ещё какие нибу, Olololo, 06-Дек-19, 22:58 (117)
        
        бред нес твой божок Тео, перемешав две проблемы в своих широковещательных заявле, пох., 06-Дек-19, 23:41 (123)
        
        Что ЧТО В виртуальных машинах тоже патчи на компилятор помогут В интерпретато, Olololo, 06-Дек-19, 23:49 (124)
        
        да В смысле, наоборот - кроме них ничего не поможет Причем понадобится собират, пох., 07-Дек-19, 02:27 (138)
        
        да, кому поржать над пастушком с заевшей пластинкой Волки - гугль притащил из, пох., 08-Дек-19, 17:53 (164)
Ну блин, padding уже везде должен быть жеж поидее, Аноним, 06-Дек-19, 15:10 (46)
Даже ничего изменять не пришлось code net ipv4 conf all accept_redirects 0net, Ilya Indigo, 06-Дек-19, 15:24 (47) //
- Надеюсь ты сам понимаешь что тут столько настроек чтобы сам ты тут ничего поменя, Аноним, 06-Дек-19, 15:59 (55) //
  - он похоже не понимает, что эти настройки означают и как работают - судя по мешан, пох., 06-Дек-19, 16:06 (57) //
    - На дефолтные из убунты не похоже видимо он их сам правил , Аноним, 06-Дек-19, 16:18 (62)
      - на копипасту из вопросов со stackoverflow похоже - до ответов, видимо, опять нед, пох., 06-Дек-19, 22:45 (116)
  - Я понимаю для чего они изменяются, но не понимаю до конца все последствия и накл, Ilya Indigo, 06-Дек-19, 16:11 (58) //
    - Хорошо что ты сам смог это более четко сформулировать , Аноним, 06-Дек-19, 16:13 (59)
      - Да я это и не говорил никогда что разбираюсь в параметрах настройки ядра и в фил, Ilya Indigo, 06-Дек-19, 16:25 (63)
- Ох, мать-перемать, вот это простыня Это ты на своем десктопе лэптопе такое фига, Fyjy, 06-Дек-19, 16:49 (68) //
  - Вообще-то это веб-сервер nginx php redis , настроенный на высокую нагрузку На д, Ilya Indigo, 06-Дек-19, 17:43 (82) //
    - А это ничего, что его требования - перпендикулярны большим нагрузкам и вообще , пох., 06-Дек-19, 22:59 (118)
      - Вы можете обосновать своё заявление Я читал про них в то время, уже подзабыл что, Ilya Indigo, 06-Дек-19, 23:52 (125)
        
        лень Можно просто включить обратно huge pages и убедиться, что мир не рухнет, и, пох., 07-Дек-19, 00:39 (128)
        
        Я месяц назад перешёл на nginx php-fpm апач со своим htaccess уже в прошлом Поду, Ilya Indigo, 07-Дек-19, 01:21 (130)
        
        у тебя основные задержки - на установление соединения с клиентом и рестарт пхп-и, пох., 09-Дек-19, 11:59 (174)
- Добавь вот это code vm swappiness 0vm dirty_ratio 60vm dirty_background_ratio 40, Olololo, 06-Дек-19, 16:58 (71) //
  - Какая прекрасная идея Фигак и нет у тебя больше IPv6 Вот только что был, но ты, Fyjy, 06-Дек-19, 17:05 (73) //
    - Нет IPv6, а значит и нет дырок в IPv6 и дырок эксплуатируемых с помощью IPv6 Эт, Olololo, 06-Дек-19, 17:11 (74)
      - Что такое 171 дырки в IPv6 187 А так отруби тогда вообще сетевой стек, что у, Fyjy, 06-Дек-19, 17:15 (75)
        
        IPv6 слишком молод, чтобы его использовать Ещё даже в IPv4 не все дырки отловил, Olololo, 06-Дек-19, 17:20 (76)
        Сижу на героине весь, просто весь, а ты тут предлагаешь дилеров отстреливать , Michael Shigorin, 07-Дек-19, 13:52 (156)
        
        Миша, мы все знаем, что логика не твоя сильная сторона, а мозг у тебя отсутствуе, Fyjy, 07-Дек-19, 17:49 (159)
        
        20 год не хочешь Пу сидит со второй половины 1999 года, сидит уже больше чем Бр, Olololo, 07-Дек-19, 19:37 (161)
        
        А об интернете они узнали 10 лет назад, как раз тогда начали первые законы о цен, Fyjy, 07-Дек-19, 22:45 (162)
    - причем одного раза выстрелить самому себе из ружья в задницу показалось мало, сд, пох., 07-Дек-19, 00:01 (126)
  - ipv6 полноценно отключается только через параметр загрузки ядра От этого же у ме, Ilya Indigo, 06-Дек-19, 17:56 (85) //
    - Выруби логи, делов-то , Olololo, 06-Дек-19, 18:01 (86)
    - Как раз наоборот Именно это рекомендуемый, например, красношапкой способ отключ, gogo, 06-Дек-19, 18:37 (90)
      - Про inet_protocols ipv4 не слышали , Аноним, 06-Дек-19, 19:52 (101)
        
        тебе же сказали - выключи логи Они ВСЕ проблемы так решают , пох., 06-Дек-19, 23:01 (119)
        
        Читая, что пишет этот чувак, держусь за лицо уже двумя руками А он ведь не толь, Anonymoustus, 07-Дек-19, 08:57 (148)
Отличная иллюстрация того, зачем надо использовать HTTPS Сначала был KRACK, кото, AnonPlus, 06-Дек-19, 15:46 (52) //
- Да-да, особенно умиляет HTTPS _вместо_ FTP , Anonymoustus, 06-Дек-19, 18:47 (95) //
  - кто-то ещё пользуется FTP D, InuYasha, 07-Дек-19, 11:39 (152)
И это только один системдосовский нотэбаг , Аноним, 06-Дек-19, 15:55 (54)
Я писал о похожей атаке в 2015 году https habr com ru post 273523 Использовал , sage, 06-Дек-19, 16:18 (61) //
- Так вот мне засирал порты в 2015 году , Olololo, 06-Дек-19, 17:00 (72) //
  - Так вот кто тебе в порты наcpaл и совсем и не абама , anonymous, 06-Дек-19, 19:39 (99)
- Это у тебя там Рика-тяма на аватарке или просто похожа , Аноним, 06-Дек-19, 20:53 (105)
- что тебе надо откуда-то узнать ip-адрес А если у тебя при подключенном vpn и пе, пох., 06-Дек-19, 23:07 (120)
user laptop sysctl net ipv4 conf all rp_filternet ipv4 conf all rp_filter 1u, Fyjy, 06-Дек-19, 16:48 (67) //
- , Аноним, 06-Дек-19, 16:50 (69)
- давно обновления-то не ставил проблемы нет , ага Пока завтра не приползет нов, пох., 06-Дек-19, 23:09 (121) //
  - Сегодня обновления ставил Дальше фантазировать будешь , Fyjy, 07-Дек-19, 17:50 (160)
Блин, iptables и nftables, конечно, мощные инструменты Но какой же вырвиглазный, Аноним, 06-Дек-19, 17:53 (84)
а в FreeBSD что править и патчить , Аноним, 06-Дек-19, 18:13 (89) //
- В ipfw - deny ip from any to any not verrevpath in, xm, 06-Дек-19, 19:03 (96)
Я тут недавно обнаружил, что через NAT-сервер и так утекают локальные адреса Ту, Аноним, 06-Дек-19, 19:35 (98) //
- на бордере - _любом_ бордере, а не только натящем, является хорошей традицией не, пох., 06-Дек-19, 23:20 (122)
- Это давно известная багофича В iptables можно фильтровать как-то вроде -m conn, Нанобот, 07-Дек-19, 10:45 (149)
Так это для впн можно и на ноль сидеть, Оперой не пользуюсь и другими впнка, Анонимчик, 06-Дек-19, 20:30 (102)
cat proc sys net ipv4 conf all rp_filter 1, fedora, 06-Дек-19, 20:52 (104)
Ну и root-доступ бы ещё неплохо , Онаним, 06-Дек-19, 20:59 (108)
А какого хрена вообще какие-то режимы влияют на изоляцию VPN-туннелей Какого хр, Аноним, 06-Дек-19, 21:56 (113) //
- Потому что vpn туннель реализован в виде виртуального сетевого интерфейса, Аноним, 07-Дек-19, 01:33 (133)
кто полагается на IP-адреса в вопросах безопасности VPN тот сам себе злобный бур, Аноним, 07-Дек-19, 04:27 (145) //
- на Archlinux всё в порядке, Аноним, 07-Дек-19, 04:30 (146) //
  - Этим всё сказано , Аноним, 07-Дек-19, 11:39 (151)
Понятно, что все высказались кто-нить уже git grep, git blame и git show насчёт, Michael Shigorin, 07-Дек-19, 13:40 (155) //
- Сам-то побрезговал https github com systemd systemd search q Loose type Com, Andrey Mitrofanov_N0, 09-Дек-19, 09:01 (168)
Где там чего менять , Аноним, 07-Дек-19, 15:10 (158)
Сразу видно уровень местных экспертов - все побежали включать rp_filter - я всег, Ivan_83, 09-Дек-19, 13:30 (176)
Первым делом при настройке любого маршрутизатора запрещаю приём пакетов на интер, mumu, 10-Дек-19, 02:22 (180)
Ecли у меня UDP с TLS на pfsense, мне стоит беспокоится по поводу сабжа , Аноним, 11-Дек-19, 01:14 (181)
Примерно 15 лет назад данная техника атаки на шифрованные тунели была разработа , Аноним, 15-Дек-19, 12:04 (185)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру