H4x0r1n6 - Was [Re: OT:SYN FLOODING]

[Ing. Pavel PaJaSoft Janousek]

> Navrhuju "H4x0r1n6" ;-)

	Beru Vas za slovo...;-)

> Takze pocitace se nemohou primo zevnitr pripojit ven, ale spojeni je
> zprostredkovano jen prostrednictvim aplikacni proxy? (ad (2))
> 
> Tim se muj nedavno popsany priklad stizi o to, ze to spojeni z trojskeho
> kone ven na druhou pulku trojskeho kone protuneluji skrze proxy-ovany
> protokol (napr. pouziji neco jako http-tunnel, skrz ktery povedu budu
> zpet tunnelovat TCP spojeni).
> 
> ad 3) Jedinny SYN flag ohledne teto komunikace bude z "normalni" http
> seance zevnitr ven, kterou vyvola ten Trojsky kun.
> 
> ad 4) jak se lisi od bodu 2) ?
> 
> ad 5) ... do te doby, nez se na nich spusti nejaky trojsky kun, anebo si
> uzivatel pusti ICQ od Mirabillise apod. ;-)

	Chapu kam mirite, bohuzel toto vzdy vyuziva 'vlastnosti' software
uvnitr, ja bych prisel jeste s jinou cestou. Urcite znate FingerPrint
OS, tedy takovouto vecicku, kterou ma v databazi NMAP a dle toho se
pokousi uhadnout verzi OS...;-) (nekolikrat jsem to pustil na pomerne
ocesany routery a ani jsem netusil, ze takove OS verze existuji). Co to
je v podstate FingerPrint - norma IP protokolu (RFC) totiz nedefinuje
(aspon si to myslim, to RFC jsem nezkoumal) striktne chovani (a hlavne
odpoved) na uplne nesmyslne IP packety, resp. packety, ktere maji
nastavenou nesmyslnou (ci v danem kontextu chybnou) kombinaci priznaku.
Kazdy OS se s timto vyrovnava po svem...

	No a ja bych rad vedel, zda-li jsou skutecne vsehcny kombinace vsech
stavu opravdu bezpecne - domnivam se, ze obsluha IP bude nejaky konecny
automat, tak by mne zajimalo, zda-li vsechny stavy, ktere nejsou spravne
vedou do toho sameho uzlu v automatu. Bohuzel praxe je jina - aspon
IMHO, protoze pak by vsechny implementace musely odpovidat uplne stejne
(a co je sranda, ani v ramci jedne implementace (napr. MS) ta odpoved na
tyto 'chybne' packety neni stejna => dostavam se do ruznych stavu). A
moje hypoteza zni (castecne navazuje na prakticky popis Dana Lukese z
minuleho tydne o ovladani Portu (nikoli jednorazovy scan) na bazi,
nekolikrat poslu cosi na porty A,B,C a port D se mi otevre, ci tusim, ze
Martin Macok psal o modulu pro vzdalene ovladani Linuxu via ICMP),
zda-li se alespon v nekterych implementaci nedostane konecny automat do
'zajimaveho stavu', ktery lze dale pro utok smysluplne vyuzit.

> > Dalsi body (stejne jako upravy a zmeny v bodech 1-5) davam hned do diskuze.
> 
> 6) Na stanice se nainstaluje jen "duveryhodny" software (o ktery se bude
> admin dobre starat a ktery bude aktualne zaplatovat) a nejak(tm) se
> zajisti, aby si uzivatele nemohli pustit nejaky "svuj" software.

	Zrovna o vikendu jsem resil presne ten samy problem - konkretne WIndows
2000 s tim svym ACL je pekne na... - Kdyz chci aby uzivatel mel pravo
zapisu do urciteho adresare musim mu umoznit i Execute do neho... -
nenasel jsem zpusob, jak udelat ciste na NTFS ala Win2000 to, ze
uzivatel ma pracovni adresar na data, kde si muze ukladat cokoli, ale
nemuze spoustet (a menit opravneni). Proste to nejde...:-(

> (tim myslim, jako ze Linux neni bezpecny) je casto v tom, ze Linux umi
> nainstalovat kazdej trouba. Pokud uz nekdo umi nainstalovat treba
> OpenBSD, tak uz nejspise ten system umi i zabezpecit. Mandrake
> nainstaluje i moje babicka ...

	Windows nainstaluje taky skoro babicka a myslim si, ze v okamziku
vhodneho SW (napr. patricne VxD) mame k dispozici ty same moznosti jako
ma Root v Linuxu...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------