Maskarada a jeji viditelnost

David Rohleder davro na ics.muni.cz
Čtvrtek Červen 17 19:04:35 CEST 1999


Mikulas Patocka <mikulas na artax.karlin.mff.cuni.cz> writes:

> >dobry den,
> >
> >>     Muj pritel tvrdi, ze kdyz zhruba pred 1 rokem zkouseli markaradovat na
> >> jednech kolejich v Brne vice pocitacu na jednu sitovou pripojku, ze to
> >> spravce poznal.  Jedine co musel pro pripojeni uvest je MAC adresu a zadane
> >> jmeno, obratem ziskaval IP adresu.
> >>

MAC adresu ceho? Bylo by mozne pouzit ARP nebo RARP. 

> >>     Me by zajimalo, jakym zpusobem, pripadne jakymi nastroji je klasicka
> >> maskarada pres ipchains viditelna zvenku.
> >
> >no na nasich kolejich se to taky stalo, ale uz netusim jake za to
> >byly/nebyly postihy. Kazdopadne to ale nebylo pred rokem, ale pred par
> >mesici :-) Problem byl v tom, ze maskaradovany pocitac se
> >pripojoval na fakultni ftp a chtel po nem, aby se snazil navazat
> >spojeni na 10.0.0.x, tj. ocividne chyba v nenahratem modulu masq_ftp.o
> >(ci jak se jmenuje).
> >
> >O jinych zpusobech (nez chyba v konfiguraci) nevim.
> 
> Jedna moznost: DNS requesty. Obcas se proste posilaji
> pokusy o najiti jmena pocitace 10.x.x.x. Obejiti: rozjet
> vlastni DNS server.

Myslíte tím reverzní dotazy, doufám.

> 
> Dalsi moznost je, ze spravce vytvori pocitac s adresou 10.0.0.1
> a pokusi se o spojeni na podezrely pocitac. Pokud je
> packet zahozen nebo se vrati zamasqueradovany, pozna to.

Podle mne takový paket neprochází forwardovacími pravidly.
Navíc nemůže odpovědět, protože odpověď pošle na opačnou stranu.

Nevím, co se rozumí tím, že paket zahodí. Tak by se přece měl chovat
každý počítač, na kterém taková adresa není.

Správná router blokuje IP, které přicházejí z jiné strany než je
možné.

Správný postup by byl podle mne následující: nechat si svou IP adresu
a jako gw pro 10.0.0.0/8 dosadit daný počítač. Pak zkusit projít celý
tento prostor a jestli odpoví, tak je váš. Nevím ovšem, jestli odpoví
svou vnější nebo vnitřní adresou (procházejí forwardovacími pravidly
nebo ne? - podle mne nesmí). Obdobně pro ostatní
adresy. 

> Obejiti: nepouzivat 10.x.x.x ani 192.168.x.x, ale nejake
> jine vymyslene adresy. Projet 2^32 adres neni snadne.

Jo. Dejte si adresu treba ze site 147.32.0.0 a třeba se budete divit,
proč se nedostanete na www.cvut.cz. Privátní adresy jsou od toho, že
jsou privátní. Ovšem vhodnou volbou IP by to šlo. Většina .mil v
současnosti není připojena do Internetu, přesto mají alokované adresy.


> 
> Dalsi moznost je finger, ident ci podobne sluzby.

Tak z tohoto opravdu nevím jak. Nehledě na to, že čím méně služeb tím
lépe. A finger patří ty služby, bez kterých se obejdete.

Další možnost je přes SNMP. Pokud ho ovšem ten dotyčný má spuštěný (a
s jednoduchou komunitou) - to by ovšem byl pak uplný *****.

> 
> Taky HTTP je podezrele. Pokud jsou po sobe posilany
> requesty majici user-agent Mozilla/Linux a MSIE/W95 v
> kratsich casovych intervalech, nez trva nabootovani
> jednotlivych systemu, dokazuje to maskaradu. Obejiti:
> proxy cache; nastavit fake_user_agent a neposilat
> X-forwarded-for.
> 

Správně nastavená maškaráda se zjišťuje opravdu špatně.

Soutěžní otázka na konec (už zazněla jednou v textu): Prochází lokálně
generované pakety maškarádou?

> Mikulas Patocka

-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------


Další informace o konferenci Linux