Digest Cache

16 de marzo, 2015Last semana allí es una interesante Questionposed de Peter Smithto de la lista de correo de Fwknop que se enfoca para la ejecución del oyente Fwknop InUDP Modevs. Usar libpcap. Pensé que sería útil hacer esto en un blog de Peter, así que aquí ' www. Prégardien. com tema con mi respuesta es:. Fwknop, desplegar en mi servidor pero no sé si necesito el modo de escucha UDP o debe libpcap. El primer modo de escucha UDP Bethe parece la elección, porque no tengo el libpcap para compilar. Sin embargo, abrir un puerto en el firewall Thenhave. Piensa en esto, tengo pareces utilizo SPA pretende superar el acceso a un lugar privilegiado en el proceso de AllowingInternet. Si se detecta una falla de seguridad explotables, bien indexado, un atacante podría enviar cualquier puerto del servidor que sospecha probado bajo Fwknopd y después máximo 65535 teniendo acceso root ciego Fwknop Remainspassive, su Exploitto. No soy un programador, no se puede comprobar el Equallylikely, también podría permitir el código daemon Fwknop o SSH, pero si los dos directaccess con cuestiones de seguridad al demonio SSH y salto con SPA. ¿Es mi punto de vista? En primer lugar, me gustaría tu punto de vista en cuanto a confirmar una cuestión importante. Si alguien encontró una vulnerabilidad en el Fwknopd, es Fwknopdis colección de paquetes vía sockets UDP o libpcap (nosotros incluso suponiendo que retalking acerca de una vulnerabilidad en el Fwknopd). La red de tráfico de la subcontratación es el problema. ¿Por qué la Fwknopd en absoluto?Es algo así como una larga respuesta, pero quiero ser cuidadoso. Me ' es no satisfecho, lllikely el problema con esta respuesta, pero es bueno comenzar la presentó. Por el ejemplo anterior con SSHD abierta al mundo, wirdauf cree que una vulnerabilidad en SSHD. ¿Cómo parecer la hazaña de modelo? Ahora, armados con exploit multisitio puede encontrar el demonio SSH con Anyscanner de hecho, y es bastante Forexploitation una única conexión TCP. Yo diría que un factor principal ventaja Theattacker en este escenario es que objetivos vulnerables, monitor de las TCPsockets son tan fáciles de encontrar. La combinación de servicios de scanbare + ataques de día cero es demasiado hermosa para un delantero. En algún momento es que ipersonally tenía un sistema que pone en peligro SSHD por este motivo. (, Fue culpa mía porque SSHD sin parche, antes de que borré en Internet, pero todavía - el sistema en línea ha sido comprometido en 12 horas en otra parte.)Ahora, en el mundo de Fwknopd, asumiendo una vulnerabilidad, ¿qué Wouldexploitation se parece? Bueno, no analizables objetivos como tú dicen, multisitio por lo tanto, sugeriría que un blanco Puerto Fwknopd y debe funciona hay paquetes SPA/relojes veces [1]. Obligando a un atacante enviando miles de paquetes a diferentes puertos (asumiendo que el valor por defecto el puerto en lugar de la UDP estándar 62201 puerto estándar de medida, que Fwknopd-Normallywatches) es probablemente una seguridad en comparación con una ventaja de servicio Obviouslytargetable. Enviar toneladas de feat puertos diferentes paquetes SPA es un modelo común, es Frequentlyflagged por IDS, firewalls, SIEM y motores del flujo, conforme a la ley. ¿Cómo Manysystems un gol del delantero con estos pesos pesados analiza antes de Theattacker notaría propio ISP? ¿O ante el atacante Includedwithin IP es una de las listas nuevas y emergentes amenazas comprometido anfitriones? ¿O WithinDShield como un mal actor conocido? ¿10 millones? ¿Cómo muchos de ellos son Actuallyrunning Fwknopd? Sé que son resultados salir algunos análisis espectacular, así que es muy difícil de cuantificar esto, pero en cualquier caso hay diferencia entre miles de > 100 bytes en paquetes UDP Eachtarget vs. una exploración de puertos TCP/22. Además, si un sistema de bloqueo literalmente todos los paquetes entrantes [2], ningún atacante también están asegurados, no hay ningún objetivo conectado a la red. Muchos atacantes sin duda muy rápidamente se movería un sistema, sólo cero datos devueltos en otro sistema. Sin embargo hacer esto por un servicio, un blanco promociona Attackerimmediately - con la seguridad 100% - hay sobre TCP demonio userspace con un número de funciones que puedes. Es un riesgo. En myView, este riesgo es mayor que el riesgo de Fwknopd donde no hay datos pone multisitio. Otra pregunta versa sobre la arquitectura de la feria Fwknopd. Si se utiliza AnHMAC (esto será el valor predeterminado en una versión futura), datos del paquete Fwknopd ReadsSPA, calcula una HMAC y no hace nada más, si el HMAC no coinciden. Es un intento por tratar de mantenerse fiel a un Simplisticdesign y puede reducir al mínimo las funciones de un atacante para interactuar - Evenfor los paquetes que se envían al puerto apropiado en el Fwknopd ciego Gracias. Así, la mayoría de las funciones de Fwknopd, incluyendo el análisis de usuario tiende a restringir los datos y donde los errores son, es muy accesible, sin antes de pasar de HMAC es una prueba de Cryptographicallystrong. Si libpcap se elimina mediante el uso de UDP, libpcap son funciones en la mezcla [3]. En otras palabras, la seguridad de la Fwknop se basa no en él, no se encuentra o scanbare - meramente agradable efecto secundario del uso de TCP no recopila datos de la red. Para mí, hay otra forma de pensar que ofrece autenticador genérico Alightweight UDP para servicios TCP Fwknopd en UDP. Supongo que tenía un diseño integrado, ThatSSHD donde sería en un socket UDP enlazar espera por honorabilidad autenticación Paquete SPA ofrece, cómo cambiar a TCP. En este caso es una necesidad para el mejor SPA de ambos mundos - lectura no rápido [4] todo complacido TCP Providesfor tenían datos fiables que al mismo tiempo. SPA en modo de escucha UDP ISAN intenta unir estos mundos. Además, no hay nada Tiesfwknopd SSH. Conozco gente que está disponible, incluyendo el protocolo RDP en el Internet. Personalmente, estoy muy seguro que hay algo como RDP en Fwknopdthan deducción de vulnerabilidades. Además, si no hay ventaja en lo digest cache referente a la thearguments sobre en qué preocupaciones servicio de ofuscación y obligando a un delantero Tobe en voz alta, mi apuesta es que Fwknopd - también si se anuncia vía TCP - proporcionaría mejor seguridad que RDP u otros servicios Frommassive bases código derivados. Ahora sobre todo de la anterior, hay algunos blogs adicionales y presentarlo, algunos lectores: puerto puede estar interesado en golpear: por qué deberías dárselo una autorización diferente solo paquete: Fwknop acercarse a una guía completa para la ocultación de servicio fuerte con Fwknop [1] Si un delantero capaz de SPA luego legitima estas suposiciones ve paquetes cliente existente de Froman puede eliminarse en gran medida. Pero también en este caso, si Fwknopd vía libpcap oler (por lo tanto, no utilice el modo de UDPonly), en realidad no se concede necesidad de correr acceso Systemwhere Fwknopd. Debe ser la dirección IP de destino en la localidad de Packetssomewhere en el camino de enrutamiento por los clientes elegido para escuchar. Mencioné lleva a este espectáculo, que tal vez no es obvio que un atacante es una instancia de Fwknopd targetable, paquetes SPA puede ser monitorizada. Además, no hay muchos atacantes en esta posición es. Por lo menos el número de atacantes en esta posición es _far_ menos que la gente (todos) que son capaces de descubrir un servicio vulnerable de la Anysystem en todo el mundo con una única conexión TCP. [2] como lo menciona solamente en UDP, activar el cortafuegos Incomingpackets al puerto UDP, dónde está escuchando Fwknopd. Pero teniendo en cuenta que Fwknopdnever nada envía a través de este puerto, hay otro puerto en rodajas filtrada. [3] hay cosas más integrado en el proceso de desarrollo, señaló que la seguridad, incluyendo el uso de Coverity, AFLfuzzing, Valgrind puede aumentar ahora. , pero probablemente nos lleva países lejanos del tema en cuestión. Hay también algunos elementos del calendario, no Beenimplemented todavía (como la separación de privilegios), el Thearchitecture será aún más fuerte. [4] en el caso de una fuerte posición de cortafuegos contra UDP entrante paquetes siempre puertos así podrá deducir la existencia del servicio, porque no ' trespond UDP/22 un escaneo pero otro puerto inalcanzable para responder con un puerto de ICMP, etc,