Security-all

Sziasztok!

Tudjuk, hogy pl. a német nbh valós idejű packet-injection-t is végez a szolgáltatókkal együttműködve. Ehez transzparens proxykat hasznának.
Tehát nem tudhatjuk, hogy ha éppen egy apt-get upgradet csinálunk, akkor valóban debian-csomagokat kapunk-e vagy az nbh által manipuláltakat. (md5-öt is tudnak gyártani, ezzel nem lehet érvelni)
Persze kicsi a valószínűsége, hogy ez előfordul, szerintem mégis elgondolkodtató. Lehet, hogy a te gépeden is nbh-s szoftver fut. Nem tudhatod pontosan!
Egy lehetséges megoldás az lenne, ha az apt ssh-val titkosított csatornán keresztül működne. (pl. ssh -N -D 9999 ftp.debian.org; torify apt-get upgrade)

Mi a véleményetek erről? Mi lehet a megoldás?

Csaba

Sziasztok,

kicsit elakadtam, nem találtam elég részletes leírást arról, hogyan kell CA infrastruktúrát csinálni proxyval.

Konkrétan az elképzelésem a dologról, hogy van egy szerverem ami szolgáltatásokat ajánl föl. HTTPD, stb. nem probléma, a saját CA-mmal aláírom a kulcsukat. Vannak viszont az olyan dolgok, mint pl. user e-mail kulcsok, vagy openvpn kulcsok, ezeket szeretném egy-egy külön CA alá betenni, amit az az előző CA-mmal írok alá. És itt elakadtam, nem tudom hogy kell proxyt csinálni.

Egy RTFM jellegű olvasmány vagy keresőszavak nagyon hasznosak lennének a témában és persze ötletek hogy miért nem jó ez, úgyszintén. Sajnos a manpagekben kicsit sok információ van és nem tudom mi kell ezekből nekem.

Köszönöm. :)

J

"Percek alatt fejti meg jelszavainkat az új hackerszerszám" címmel jelent meg egy cikk az indexen.
http://index.hu/tech/szoftver/passwd110907/
Veszedelmes eszközt mutatnak be. Ráadásul letölthető a sourceforge.net-ről.
Jobb ha átgondoljuk a jelszavakkal kapcsolatos biztonsági elképzeléseinket!

Észrevettem, hogy a mailszerverünkön némelyik masszívabb spamáradatnál a kliens az EHLO paramétereként a "3lyw4" sztringet adja meg.
A google-lel gyorsan rákeresve úgy látom nem csak nálunk, de külföldön is indul spam ilyen hostnévvel.

Tudja esetleg valaki, hogy ez micsoda? Valamilyen windowsra települő zombinak az ismertetőjele, vagy netán -szándékos küldést feltételezve- egy kifejezetten spammelésre írt massmailer program jelentkezik így be?

Sziasztok!

RTFM az elmúlt egy napban megvolt, megoldásra azonban nem jutottam.
A probléma:
Adott egy active ftp szerver, amire tűzfal mögül kell felcsatlakoznom. A felcsatlakozás rendben lezajlik, feltöltés rendesen megy, azonban amint le akarok tölteni valamit, a kapcsolat megáll. A csomagok log szerint a külső ip-re vannak címezve. ip_conntrack_ftp modul betöltve, az adott szerver felé minden (INPUT, OUTPUT, FORWARD) lánc engedélyezve.
Megbuktam, :( szabad a gazda, mi a megoldás? Hogyan kell engedélyezni az active ftp-t?

2. második felvonás:
A proxy/tűzfal gépben megfeküdt a hdd, így egy másik gép lett beállítva. A hálókártya úgy tűnik szintén haldoklott, mert ugyanaz a script fut a másik gépen is, és megy az active ftp. Illetve megyeget, mert meghatározatlan időközönként egyszerűen leáll. Nagy fájlokkal látszólag rendben van, de <1Kb alatt random leállások vannak. A szabályok:

#! /bin/sh

### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Default-Start: 3
# Default-Stop: 0 1 2 6
# Description: Firewall
### END INIT INFO

LAN_IP_NIC='eth0'
WAN_IP_NIC='ppp+'
WAN_IP='x.x.x.x'

case "$1" in
start)
################
# Flush chains #
################

iptables -F
iptables --delete-chain

##########################
# Load conntrack module #
##########################

modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

##################
# Default policy #
##################

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

######################
# Localhost enabled #
######################

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

###################
# OpenVPN enabled #
###################

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

##############
# Masquerade #
##############

iptables -t nat -A POSTROUTING -o $WAN_IP_NIC -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to -port 3128

###############
# Invalid SYN #
###############

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# syn-flood vedelem
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Titkos port scan
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --li mit 1/s -j ACCEPT

# DoS elleni vedelem
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/ s -j ACCEPT

###############
# INPUT CHAIN #
###############

iptables -A INPUT -p icmp -j ACCEPT

# ESTABLISHED
iptables -A INPUT -p all -i $LAN_IP_NIC -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $WAN_IP_NIC -p tcp -m multiport --dport 20,21,22,25 ,53,80,110,123,143,443,465,993,995,10000 -m state --state NEW,ESTABLISHED,RELATE D -j ACCEPT
iptables -A INPUT -i $WAN_IP_NIC -p udp --dport 1194 -j ACCEPT

################
# OUTPUT CHAIN #
################
iptables -A OUTPUT -j ACCEPT -p all

###################
# Port forwarding #
###################
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p all -i $LAN_IP_NIC -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

########################
# Enable IP Forwarding #
########################

echo 1 > /proc/sys/net/ipv4/ip_forward

;;
stop)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
;;
restart)
/etc/init.d/firewall stop
/etc/init.d/firewall start
;;
esac

3. harmadik felvonás: A megoldás!
Csak egy sor:
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1452
És működik... :D

Sewastok!

Az unalmas perceimben az jutott az eszembe, hogy léteznek SSL tanusítványt kiadó cégek, akik pénzt kérnek eme tevékenységükért, vagyis azért, hogy ellenőrzik, garantálják az általuk kiadott tanusítványokat harmadik fél irányába, illetve a megrendelő felé opcionálisan anyagi garanciát is vállalnak. Az a kérdés merült fel bennem, hogy ha egy vállalkozás nekilát SSL tanusítványok "árusításához", akkor ez mitől lesz hiteles? Vagyis szükséges-e bizonyos hazai, nemzetközi jogi lépések megtétele, vagy elegendő csupán annyi, hogy a vállalkozás a saját kulcsával írja alá a kiadott tanusítványokat?

 
 Liming Fyhr 
 <Fyhrtcyma[at]futureworks-now.com>    Sat, Aug 11, 2007 at 3:06 AM 
   To: mlist-linux-kernel[at]nntp-server.caltech.edu 
   Reply | Reply to all | Forward | Print | Delete | Show original  
   (H)(u)(g)[e] (N){e}(w)[s] To Im,pact {C}[Y]<T>{V}



Chin*a You+TV <C>[o]{r}(p)<.>

Sym^bol: <C>(Y)(T)<V>



We (h)[a]{v}{e} alre+ady {s}(e)<e>(n) CYTV'`s marke*t impa,ct be,fore cli*mb-ing to <o>{v}<e><r> $2.#00 [w][i](t){h} [n]{e}(w)[s](.)
Pres-s Rel,ease:
C*hina Y_ouTV's CnBo_o {W}(e)<b> <S>{i}<t><e> Ran_ks <N><o>{.}[1] on Mic+`rosoft (L)[i]<v>[e] Sea_rch Engin.e

CnB_oo Tra_ffic Incre_ase*s (4)(9)<%> (O)[v]<e>{r} <T><w>{o} Mon,ths




{R}(e)(a)(d) [t]{h}[e] n`ews, thin-k a*bout (t)[h]<e> i-mpact, and

<j>(u){m}[p] on <t>(h){i}{s} fir+st thin.g To-^morrow mo-rni#ng!  $0.4*2 is a {g}<i>{f}[t] at [t]<h>{i}<s> pr-ice.`....


Do {y}(o)<u>(r) homewo^r,k [a]{n}<d> w.atch {t}(h)<i><s> tr-ade Monda_y mo+rning.

ujabban devel listre ilyen smapek jönnek és ezt hogy a f***-ba szürje ki az a spam szűrö, amugy ezen a héten volt eddig a legtöbb spam amit kaptam személyesen és a dev-el list is ...

Felmerult az igeny, hogy hardveres tokenekkel azonositsak a dolgozok magukat a rendszerben. (Elsosorban win32) Amire szukseg lenne: ez alapjan oprendszer login, a rajta levo tanusitvany segitsegevel bongeszoben honlapokra valo beleptetes (PKCS11?). Plusz, de nem szukseges: elektronikus levelezesben digitalis alairas/titkositas, VPN authentikacio/authorizacio. Nagyon nem vagyok kepben a temaban, ezert minden infot szivesen fogadok. Kb. 15 db kellene, hogy USB-s vagy chipkartyas -- lenyegtelen, az ar fontosabb. :) Amit idaig talaltam: Aladdin ASECard Crypto chipkartya, de felo ennek ara tul magas. Es fontos lenne a konnyu/gyors beszerezhetoseg Magyarorszagon, Budapesten.

Thx.

Update:
Kozben talaltam egy ilyet: RSA Smart Key 6200 Valamilyen amerikai oldalon kb 20 USD/db aron lattam hirdetni; ez megfelelne a celnak? S mintha reklamoznak, hogy openplatform, ingyenesen letoltheto software.

Egy a BuddyBackuphoz hasonlót szeretnék azzal a kitötéssel, hogy ne csak Windowsson, hanem Linuxon is menjen.
A dolog lényege, hogy a fontos fileokat egymás gépére lehet menteni egy titkosított fileba az Interneten keresztül. Mindez automatikusan a háttérben.
Fontos lenne, hogy nagyon hozzánemértők is tudják használni.
Ismerőseim között szeretném terjeszteni akik között vannak egységsugarúak is.
Tud már valaki kész megoldást?

Sziasztok.

DVD-ket szeretnék titkosítani linux alatt és felmerült néhány kérdés. Először is, hogy milyen módszert érdemes választani:
- cryptoloop
- aes-loop
- dm-crypt
- esetleg más...?

Alapvetően úgy tűnik, hogy bármelyik megoldás jó lehet, csak hosszú távra szeretnék választani egyet, elég sok lemezről lenne szó. Eddig a cryptoloop-ot és a dm-crypt-et nézegettem, de örülnék az ezzel kapcsolatos tapasztalatoknak.
Bónusz kérdés: van-e olyan nyílt forráskódú megoldás, amivel windows alatt is olvasható egy ilyen titkosított lemez?

Köszönöm: Zoli