|
|
 | Source routing
Fra : Troels Arvin |
Dato : 07-09-04 11:14 |
|
Som skrevet på bl.a. http://www.synacklabs.net/OOB/LSR.html er der
fortsat operativsystemer, der pr. default ikke bortkaster source-routede
pakker, heriblandt Windows og (i hvertfald visse udgaver af) Linux. Source
routede pakker åbner for IP-spoofing.
Jeg foreslår, at følgende råd på passende vis indsættes i dokumenter
ang. robustgørelse af operativsystemer, såsom gruppens FAQ og Thomas'
Tjenester.pdf:
For Windows, fra og med NT 4 SP 6 (ved ikke med Wind9x):
Tilføj DWORD-nøglen
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
med værdi 2.
Jeg ved ikke, om det kræver genstart eller lign. for at få effekt.
Denne anbefaling er også i tråd med bl.a.
http://www.microsoft.com/technet/Security/topics/hardsys/tcg/tcgch10.mspx
http://www.giac.org/practical/GSEC/Zach_Groves_GSEC.pdf
For Linux er trick'et - i hvertfald på Fedora Core/Red Hat:
Tilføj linjen
net.ipv4.conf.default.accept_source_route = 0
til /etc/sysctl.conf og kør "sysctl -p". Dette giver den ønskede effekt
ved fremtidige aktivering af interfaces. For umiddelbar effekt for
allerede kørende interfaces, kør
echo 0 >/proc/sys/net/ipv4/conf/eth0/accept_source_route
hvor eth0 erstattes med passende interface-navne, om nødvendigt.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
 Thomas G. Madsen (12-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 12-09-04 17:27 |
| | |
Asbjorn Hojmark (12-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 12-09-04 17:43 |
|
On Sun, 12 Sep 2004 18:27:15 +0200, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
> Er source routede pakker mon det samme som TCP via raw sockets?
Nej.
-A
| |
Thomas G. Madsen (12-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 12-09-04 17:56 |
|
Asbjorn Hojmark skrev:
>> Er source routede pakker mon det samme som TCP via raw sockets?
> Nej.
Okay.
Nå, men hvis der ikke er nogle grumme bivirkninger ved at slå source
routede pakker fra, så skal det da med i Tjenester.pdf, hvis bare jeg
vidste, hvordan jeg skulle forklare det. Det er lidt svært, når man
ikke aner hvad det er, men jeg må jo studere de links Troels sendte så.
--
Hilsen
Madsen
| |
 Asbjorn Hojmark (12-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 12-09-04 19:07 |
|
On Sun, 12 Sep 2004 18:55:52 +0200, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
> Nå, men hvis der ikke er nogle grumme bivirkninger ved at slå source
> routede pakker fra, så skal det da med i Tjenester.pdf,
Det er udmærket at slå det fra. For mange vil det dog ikke have
den store betydning, fordi deres udbyder (eller router) allerede
gør det for dem.
-A
| |
Jesper Dybdal (12-09-2004)
| Kommentar
Fra : Jesper Dybdal |
Dato : 12-09-04 19:18 |
|
"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> wrote:
>Nå, men hvis der ikke er nogle grumme bivirkninger ved at slå source
>routede pakker fra, så skal det da med i Tjenester.pdf, hvis bare jeg
>vidste, hvordan jeg skulle forklare det. Det er lidt svært, når man
>ikke aner hvad det er, men jeg må jo studere de links Troels sendte så.
En "source routed packet" er en pakke der ikke kun indeholder en
destinations-ip-adresse, men ogå ip-adresser på rutere som pakken skal
sendes via.
Hvis fx min ruter herhjemme tillod sådanne pakker, så ville man udefra
kunne nå min Windowsmaskine, som eller har en meget intern ip-adresse,
ved at sende en source routed packet til Windows-maskinens (interne)
adresse via min ruters eksterne adresse. Pakken leveres så ad normale
veje til ruteren, som, hvis den altså tillod det, ville sende den
videre på det interne net.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Thomas G. Madsen (12-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 12-09-04 21:06 |
|
Jesper Dybdal skrev:
> Hvis fx min ruter herhjemme tillod sådanne pakker, så ville
> man udefra kunne nå min Windowsmaskine, som eller har en meget
> intern ip-adresse, ved at sende en source routed packet til
> Windows-maskinens (interne) adresse via min ruters eksterne
> adresse.
Hvad så i et tilfælde som mit, hvor jeg går direkte på nettet
via et ADSL-moden og min DHCP-tildelte IP-adresse er adressen
direkte til min Windows-maskine, fordi der ikke er nogen router
imellem? Hvad kan en source routed pakke gøre af skade, når der
ingen lyttende tjenester er til at tage imod?
--
Hilsen
Madsen
| |
Asbjorn Hojmark (12-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 12-09-04 22:44 |
|
On Sun, 12 Sep 2004 22:06:11 +0200, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
> Hvad så i et tilfælde som mit, hvor jeg går direkte på nettet
> via et ADSL-moden og min DHCP-tildelte IP-adresse er adressen
> direkte til min Windows-maskine, fordi der ikke er nogen router
> imellem?
TDC er en respektabel udbyder og tillader ikke source-routede
pakker.
> Hvad kan en source routed pakke gøre af skade, når der ingen
> lyttende tjenester er til at tage imod?
Hvis maskinen ikke lytter efter noget som helst, så er det
selvfølgelig også ligegyldigt, hvordan en pakke kommer hen til
den.
De fleste maskiner vil dog lytte på ICMP, selvom man har slået
alt fra og de ikke længere lytter på UDP- og TCP-porte.
-A
--
http://www.hojmark.org/
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 00:41 |
|
Asbjorn Hojmark skrev:
> TDC er en respektabel udbyder og tillader ikke source-routede
> pakker.
Det lyder godt.
> De fleste maskiner vil dog lytte på ICMP, selvom man har slået
> alt fra og de ikke længere lytter på UDP- og TCP-porte.
Ja og det gør min også pt.
Jeg sidder og læser noget om IP-spoofing, da Troels nævner, at
det er det man bruger source-routede pakker til.
På: < http://www.securityfocus.com/infocus/1674> står der:
| Encryption and Authentication - Implementing encryption and
| authentication will also reduce spoofing threats. Both of
| these features are included in Ipv6, which will eliminate
| current spoofing threats.
Man kan vælge IPv6 som protokol på WinXP, men det er måske stadig
ikke en god nok sikkerhed frem for at blokere helt for source-
routede pakker med den omtalte nøgle i registreringsdatabasen,
som Troels nævner i <news:pan.2004.09.07.10.13.51.441395@arvin.dk> ?
--
Hilsen
Madsen
| |
Asbjorn Hojmark (13-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 13-09-04 07:15 |
|
On Mon, 13 Sep 2004 01:41:20 +0200, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
> Jeg sidder og læser noget om IP-spoofing, da Troels nævner, at
> det er det man bruger source-routede pakker til.
Det er nok rigtigere at sige, at sådan var det får i tiden. I dag
dropper alle respektable udbydere det.
> Man kan vælge IPv6 som protokol på WinXP
Det er nogle år for tidligt at køre med IPv6 som eneste protokol.
-A
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 01:16 |
|
Thomas G. Madsen skrev:
> Man kan vælge IPv6 som protokol på WinXP
Og dog. Jeg havde blot set, at man kunne installere protokollen,
men havde så regnet med, at man derefter kunne fjerne den gamle
Internet Protocol (TCP/IP) og lade Microsoft TCP/IP version 6
tage over, men nej. Der er ikke hul igennem med v6 alene.
--
Hilsen
Madsen
| |
Klaus Ellegaard (13-09-2004)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 13-09-04 07:18 |
|
Thomas G. Madsen <nospam@madsen.tdcadsl.dk> writes:
>Og dog. Jeg havde blot set, at man kunne installere protokollen,
>men havde så regnet med, at man derefter kunne fjerne den gamle
>Internet Protocol (TCP/IP) og lade Microsoft TCP/IP version 6
>tage over, men nej. Der er ikke hul igennem med v6 alene.
Nej, det kræver, at din ISP understøtter IPv6. Det er der ingen,
der gør - udover pilotprojekter og den slags begrænsede systemer.
Men det er altså også nemmere at løse problemet i stedet for at
prøve at omgå det. Source routing har ingen praktisk anvendelse
for slutkunder, så der er ingen grund til andet end at filtrere
det langt væk.
Mvh.
Klaus.
| |
Kasper Dupont (13-09-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 13-09-04 12:32 |
|
Klaus Ellegaard wrote:
>
> Nej, det kræver, at din ISP understøtter IPv6. Det er der ingen,
> der gør
Nej, vist ikke i Danmark. Men jeg har hørt, at der
skulle være nogen andre lande i Europa, som var
længere fremme på det område.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
#define _(_)_"rdk"/* This is my real email address */
char _[]=_("kaspe")_("brics");_[7]='@';_[13]='.';puts(_);
| |
Asbjorn Hojmark (13-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 13-09-04 16:04 |
|
On Mon, 13 Sep 2004 13:32:17 +0200, Kasper Dupont
<remove.invalid@nospam.lir.dk.invalid> wrote:
>> Nej, det kræver, at din ISP understøtter IPv6. Det er der ingen,
>> der gør
> Nej, vist ikke i Danmark. Men jeg har hørt, at der skulle være
> nogen andre lande i Europa, som var længere fremme på det område.
Det nytter blot ikke meget, hvis de servere, man skal have fat i,
ikke understøtter IPv6. Så skal man i hvert fald ud i noget med
en proxy eller 6til4 NAT.
-A
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 10:01 |
|
Asbjorn Hojmark skrev:
> Det er nok rigtigere at sige, at sådan var det får i tiden. I dag
> dropper alle respektable udbydere det.
Hvis alle respektable udbydere dropper det, er der jo nærmest ingen
grund til at beskytte sig imod det som slutkunde, eller det kommer
selvfølgelig an på, hvor mange respektable udbydere vi har her i
landet. :)
> Det er nogle år for tidligt at køre med IPv6 som eneste protokol.
Ok.
--
Hilsen
Madsen
| |
Asbjorn Hojmark (13-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 13-09-04 10:30 |
|
On Mon, 13 Sep 2004 11:00:40 +0200, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
>> Det er nok rigtigere at sige, at sådan var det [før] i tiden.
>> I dag dropper alle respektable udbydere det.
> Hvis alle respektable udbydere dropper det, er der jo nærmest
> ingen grund til at beskytte sig imod det som slutkunde,
Nja...
> eller det kommer selvfølgelig an på, hvor mange respektable
> udbydere vi har her i landet. :)
Ja, det er jo lige det. En hel del af de der hjemmesnedkererede
bolignet, kollegienet, bynet og det der ligner kan ofte ikke (i
denne sammenhæng) opfattes som 'respektable udbydere'.
-A
| |
Christian Andersen (13-09-2004)
| Kommentar
Fra : Christian Andersen |
Dato : 13-09-04 17:10 |
|
Asbjorn Hojmark wrote:
>> eller det kommer selvfølgelig an på, hvor mange respektable
>> udbydere vi har her i landet. :)
> Ja, det er jo lige det. En hel del af de der hjemmesnedkererede
> bolignet, kollegienet, bynet og det der ligner kan ofte ikke (i
> denne sammenhæng) opfattes som 'respektable udbydere'.
Nøh, men de får vel IP fra en respektabel udbyder? (der dropper
source-routede pakker)
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Kent Friis (13-09-2004)
| Kommentar
Fra : Kent Friis |
Dato : 13-09-04 17:14 |
|
Den Mon, 13 Sep 2004 16:09:35 +0000 (UTC) skrev Christian Andersen:
> Asbjorn Hojmark wrote:
>
>>> eller det kommer selvfølgelig an på, hvor mange respektable
>>> udbydere vi har her i landet. :)
>
>> Ja, det er jo lige det. En hel del af de der hjemmesnedkererede
>> bolignet, kollegienet, bynet og det der ligner kan ofte ikke (i
>> denne sammenhæng) opfattes som 'respektable udbydere'.
>
> Nøh, men de får vel IP fra en respektabel udbyder? (der dropper
> source-routede pakker)
Men de har mere end en kunde...
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Asbjorn Hojmark (13-09-2004)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 13-09-04 18:04 |
|
On Mon, 13 Sep 2004 16:09:35 +0000 (UTC), Christian Andersen
<5oyh8a102@sneakemail.com> wrote:
>> Ja, det er jo lige det. En hel del af de der hjemmesnedkererede
>> bolignet, kollegienet, bynet og det der ligner kan ofte ikke (i
>> denne sammenhæng) opfattes som 'respektable udbydere'.
> Nøh, men de får vel IP fra en respektabel udbyder? (der dropper
> source-routede pakker)
Ja, og? De kan have ret mange kunder.
-A
| |
Christian Andersen (13-09-2004)
| Kommentar
Fra : Christian Andersen |
Dato : 13-09-04 18:33 |
|
Asbjorn Hojmark wrote:
>>> Ja, det er jo lige det. En hel del af de der hjemmesnedkererede
>>> bolignet, kollegienet, bynet og det der ligner kan ofte ikke (i
>>> denne sammenhæng) opfattes som 'respektable udbydere'.
>> Nøh, men de får vel IP fra en respektabel udbyder? (der dropper
>> source-routede pakker)
> Ja, og? De kan have ret mange kunder.
Klart. Men jeg tænkte ikke kun e- og ingressfiltrering, men også intern
filtrering.
Hvis der ikke foretages intern filtrering på SR-pakker, er det
selvfølgelig et problem.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 12:59 |
|
Asbjorn Hojmark skrev:
> En hel del af de der hjemmesnedkererede bolignet, kollegienet,
> bynet og det der ligner kan ofte ikke (i denne sammenhæng)
> opfattes som 'respektable udbydere'.
Nå nej for hulen. Det kan de sikkert ikke.
--
Hilsen
Madsen
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 10:01 |
|
Troels Arvin skrev:
> http://www.giac.org/practical/GSEC/Zach_Groves_GSEC.pdf
Der er egentlig mange guldkorn i den PDF.
Det der med at slå 'Register this connection's address in DNS' fra
under egenskaber for TCP/IP på forbindelsen (medmindre maskinen er
koblet på et domæne), som er nævnt på side 6, var jeg ikke bekendt
med og tippene til at forbedre sikkerheden i TCP/IP og Winsock
(side 16 og MS' Threats and Countermeasures Guide), har jeg heller
ikke hørt om før.
Spørgsmålet er så bare, om det er nødvendigt at bruge ret mange
kræfter på det, hvis de fleste udbydere alligevel filtrerer på den
slags ting, som kan udnytte svaghederne. Det ville selvfølgelig
nok være klogest at gøre det for at være på den sikre side, men
der skal i så fald foretages ret mange ændringer, ser det ud til.
--
Hilsen
Madsen
| |
Troels Arvin (13-09-2004)
| Kommentar
Fra : Troels Arvin |
Dato : 13-09-04 10:11 |
|
On Mon, 13 Sep 2004 11:00:39 +0200, Thomas G. Madsen wrote:
> Spørgsmålet er så bare, om det er nødvendigt at bruge ret mange
> kræfter på det, hvis de fleste udbydere alligevel filtrerer på den
> slags ting, som kan udnytte svaghederne.
Nej, det er i høj grad diskutabelt, da dit dokument jo skal have
en fornuftig afgrænsning for at gøre det læsværdigt. Overvej evt. at
skrive et appendix eller en "2. del" til folk, der har mod på at læse
videre.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 12:36 |
|
Troels Arvin skrev:
> Nej, det er i høj grad diskutabelt, da dit dokument jo skal
> have en fornuftig afgrænsning for at gøre det læsværdigt.
Ja, det er nemlig det.
> Overvej evt. at skrive et appendix eller en "2. del" til folk,
> der har mod på at læse videre.
Jeg har overvejet at vedhæfte de to *.vbs-filer (Tcpip_sec.vbs og
Winsock_sec.vbs) fra Microsoft Windows Security Resource Kit(*)
til PDF-filen, men er i tvivl, om jeg i det hele taget må gøre det
og desuden er *.vbs-filer nok ikke noget alle er lige begejstrede
for at finde vedhæftet, men det er unægtelig noget nemmere at køre
dem end at guide folk igennem alle de ændringer i regdatabasen.
(*) < http://www.microsoft.com/mspress/books/sampchap/6418.asp>.
--
Hilsen
Madsen
| |
Troels Arvin (13-09-2004)
| Kommentar
Fra : Troels Arvin |
Dato : 13-09-04 12:45 |
|
On Mon, 13 Sep 2004 13:36:24 +0200, Thomas G. Madsen wrote:
>> Overvej evt. at skrive et appendix eller en "2. del" til folk, der har
>> mod på at læse videre.
>
> Jeg har overvejet at vedhæfte de to *.vbs-filer (Tcpip_sec.vbs og
> Winsock_sec.vbs) fra Microsoft Windows Security Resource Kit(*) til
> PDF-filen
Når du overvejer at link'e, bør du måske også overveje at gå over til
at benytte HTML[1]. Det ville også gøre det mere elegant at skabe
uddybende undersider for udvalgte sektioner.
Note 1:
I så fald: Gerne udskriftsvenlig, og med passende ankre i teksten,
således at man kan henvise folk til specifikke dele af teksten.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 12:54 |
|
Troels Arvin skrev:
> Når du overvejer at link'e, bør du måske også overveje at gå
> over til at benytte HTML[1].
Jeg snakkede ikke om at linke, men om at vedhæfte de to VBS-filer
til PDF'en.
> Det ville også gøre det mere elegant at skabe uddybende
> undersider for udvalgte sektioner.
Mine evner udi HTML rækker ikke til at kunne lave sådan en side
desværre så på det område må andre med tiden og lysten tage over.
--
Hilsen
Madsen
| |
Kristian Thy (13-09-2004)
| Kommentar
Fra : Kristian Thy |
Dato : 13-09-04 13:03 |
| | |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 13:41 |
|
Kristian Thy skrev:
> Hvordan vil du vedhæfte filer til en pdf?
Nu kender jeg godt nok ikke Adobe Readeren, da jeg bruger Adobe
Acrobat, men jeg mener også at readeren kan håndtere vedhæftede
filer.
Til følgende PDF er der f.eks. vedhæftet de to omtalte VBS-filer:
< http://home18.inet.tele.dk/madsen/acrobat/vedhaeft.pdf> (146 KB).
Hvis jeg henter den ned på harddisken og åbner den i Acrobat, er der
i menuen Document et punkt som hedder 'File Attachments'. Går jeg
derind, kan jeg se de to VBS-filer og enten køre dem direkte ved at
klikke på Open-knappen, eller gemme dem på disken vha. Export-knappen.
--
Hilsen
Madsen
| |
Kristian Thy (13-09-2004)
| Kommentar
Fra : Kristian Thy |
Dato : 13-09-04 13:48 |
| | |
Thomas G. Madsen (13-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 13-09-04 13:59 |
|
Kristian Thy skrev:
> Jeg har Acrobat 5.0.1, og har ikke nogen mulighed for at se de
> vedhæftede filer i menupunktet 'Dokument'.
Hmm, så er det jo ikke meget bevendt, medmindre funktionen ligger
et andet sted i 5'eren. Det kan jeg ikke huske, men jeg mener nu
da også at 5'eren understøtter vedhæftede filer.
Adobe Reader 5.1 gør i hvert tilfælde, hvis man skal tro på denne
side: < http://www.pdfstore.com/details.asp?ProdID=614>.
| Features new to Adobe Acrobat Reader in version 5.1 (Win & Mac
| only) are:
|
| If the author of the PDF document attached files or multimedia
| clips, you can open these attachments in Acrobat Reader.
--
Hilsen
Madsen
| |
Thomas G. Madsen (14-09-2004)
| Kommentar
Fra : Thomas G. Madsen |
Dato : 14-09-04 00:13 |
|
Kristian Thy skrev:
> Jeg har Acrobat 5.0.1, og har ikke nogen mulighed for at se de
> vedhæftede filer i menupunktet 'Dokument'.
I Adobes Acrobat-forum siger de, at man skal have mindst Acrobat 6
eller Adobe Reader 6, så den idé dropper jeg igen.
--
Hilsen
Madsen
| |
|
|