ANTYNET.PL – Administracja Sieci

Tytuł taki zadziorny 😉

W każdej sieci korporacyjnej mamy sporo drukarek sieciowych, czasem nawet nie wiemy ile i gdzie.

Podpinamy, dołączamy stanowiska komputerowe i zapominamy.

Bardzo często robi to za nas firma zewnętrzna,  obsługująca nam systemy wydruku.

Zaraz przedstawię atak na drukarkę i wyjaśnię dlaczego jest to krytycznie niebezpieczna część sieci.

Na początek na konsoli Linux ( polecam mieć virtualkę z Kali Linux ) zainstalujemy jedno z wielu narzędzi służące do  testów bezpieczeństwa drukarek.

pip install colorama pysnmp 
pip install win_unicode_console 
apt-get install imagemagick ghostscript 
git clone https://github.com/RUB-NDS/PRET 
cd PRET 
./pret.py 192.168.1.136 pcl

ten adres IP to rzeczywiste urządzenie w jednym ze szpitali, które obsługuje. Urządzenie firmy obsługującej systemy wydruku w szpitalu.

Co widzimy? Otrzymujemy powłokę która umożliwia penetrację urządzenia! Żadnych haseł, modeli , szukania itp. starczy adres IP! Co może teraz wykonać osoba, która w ten sposób zaatakowała urządzenie? Wiele, ale zauważcie polecenie PUT, które umożliwia załadowanie statycznej binarki. Taka binarka to może być skaner sieci, malware, sniffer czy exploit na inne urządzenia w sieci.

Często sieć szpitala jest bardzo mądrze posegmentowana, ale drukarki maja dostęp do każdego segmentu, bo tak prościej … w ten sposób atakujący opuszcza vlan do którego się dostał.

Jak się zabezpieczać:

• aktualizacje oprogramowania ( problemem może być drukarka wynajęta, ale o tym potem )
• segmentacja sieci ( da się to ogarnąć, proponuję dyskusję w komentarzach )
• odcięcie drukarki od internetu – całkowite!
• użycie adresu publicznego – wersja dla psychopatów 😉

Jak zmusić firmę zewnętrzną aby dbała o aktualizację oprogramowania? Wyjaśnić że mając taki dostęp do urządzenia, ktoś złośliwy w niecnych celach może zmienić stan licznika 😉 Jesteśmy pełni obaw ….

Drobna modyfikacja poprzednich regułek. Oczywiście zmiany podyktowane przykrymi doświadczeniami 😉

IfModule rewrite_module>
RewriteEngine on
RewriteCond %{REQUEST_URI} -d
RewriteRule .* /index.php?dir=$0
</IfModule>

<FilesMatch „wp-config.*\.php|\.htaccess|readme\.html”>
Order allow,deny
Deny from all
</FilesMatch>

<Files wp-login.php>
AuthType Basic
AuthGroupFile /dev/null
AuthName „stop”
AuthUserFile /password (tutaj haslo dostepu do panelu logowania)
require valid-user
</Files>

<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

<Files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

<Files wp-content/uploads/^(*.jpeg|*.jpg|*.png|*.gif|*.pdf)>
order deny,allow
deny from all
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

<Files wp-content/uploads/*.php>
deny from all
</Files>

Skaner urządzeń w sieci. Znajduje urządzenia w zdefiniowanej sieci, po wykryciu maszyny uruchamia swoja bazę exploitów w celu podania danych logowania, danych sieci itp. narzędzie całkiem sprawne.

Niemniej jednak jak już wykryje Wam urządzenia, a wykryje 😉 Warto przeprowadzić test przy pomocy routersploit. Zwykle jeszcze więcej możliwości penetracji urządzenia otrzymacie. Jak pracować z routersploit opisze potem.

Domyślne porty są ok, ale warto dodać 81,8080,8081 i wedle uznania 😉 tak podpowiem że warto dodać port vpn. Można się zdziwić. 🙁

Dysk Google jest przydatny, czasem nawet bardzo. Nie będę tutaj o wadach i zaletach, ale o tym jak korzystać z tej usługi w środowisku Debian 9.

Potrzebne pakiety:

apt-get install dirmngr
apt-get install software-properties-common


Dodajemy repozytorium:


apt-add-repository ppa:alessandro-strada/ppa


Klucze:

gpg --keyserver pgp.mit.edu --recv-keys AD5F235DF639B041
gpg --armor --export AD5F235DF639B041 | apt-key add -


Instalujemy pakiet obsługujący dysk google:


apt-get update
apt install google-drive-ocamlfuse


Teraz logujemy się na swoje konto o obniżonych uprawnieniach.

Tworzymy katalog w którym Dysk Google będzie nam się montował:

mkdir ~/googledrive


Teraz najważniejszy krok, uruchomimy aplikację odpowiedzialną za całe zamieszanie. Aplikację uruchamiamy z konsoli na naszym koncie ( nie root! ).

Po uruchomieniu otworzy się nam przeglądarka WWW, w niej autoryzujemy się na koncie gmail, zezwalamy na dostęp dla naszej nowej aplikacji i … czekamy aż na konsoli pojawi się informacja o pozytywnym zalogowaniu.

google-drive-ocamlfuse

Teraz uruchamiamy synchronizację:

google-drive-ocamlfuse /home/amon/googledrive

To tyle, właśnie ruszyła synchronizacja 😉

Ponownie wordpress, tym razem w aspekcie mod_security.

Po instalacji, konfiguracji praca z wordpressem jest praktycznie niemożliwa.

rozwiązanie:

w /etc/modsecurity tworzymy pik whitelist.conf o zawartości:

  SecRuleRemoveById 980140
 SecRuleRemoveById 959100




  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 960010 960012 950006



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 340151 1234234 340153 1234234 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61




  SecRuleRemoveById 920180




SecRuleEngine off
#SecRuleRemoveById 980130
  #SecRuleRemoveById 949110
  #SecRuleRemoveById 920280
  #SecRuleRemoveById 932100



  SecRuleRemoveById 920350

Fajny  CMS, ale … jak każdy CMS bardzo podatny na włamania, sam core jest rewelacyjny moim zdaniem, ale wtyczki …. nie znasz dnia i godziny gdy komuś się uda włamać. Zwykle nawet tego nie zauważysz, zaczniesz linkować do lewej viagry czy butów nike. Lub oto inny: możesz mieć takie sugestie. Odwiedź best online casino CC-TV z Nederland, których ratings są najbardziej dokładne i użyteczne. Więc przeczytaj moje notatki. Warto przyjrzeć mu się lepiej.

Wszelkie znane mi włamania do  Wordpress ( pomijając włamania systemowe, ftp … itp ) opierają się na manipulacjach katalogu wp-admin.

Wszystkie wpisy dajemy do .htaccess lub konfiguracji apache2.

Najprościej jest ograniczyć dostęp do wp-admin poprzez kontrolę IP:

<Directory "/home/domena/wp-admin">
order allow,deny
allow from x
</Directory>

Problem pojawia się gdy łączymy się z panelem admina z różnych IP… każde IP dodawać? no można …. ale niewygodne.

Zroby inaczej 😉  Prościej … i tak samo bezpiecznie 🙂

<Files wp-login.php>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Files>

<Location /wp-admin/>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Location>

I wszelkie metody ataku wp-admin maja na drugą zmianę 😉

Przedstawiana konfiguracja może w przypadku lekkim wyłączyć sieć, a ekstremalnym uszkodzić sprzęt.

Opis dla kart sieciowych intel z maszyna  16GB RAM. ( po tuningu starczy 4GB)

Pada sieć, pakiety są dropowane … drop na ethx, ruter gubi pakiety … ip_conntrack: table full, dropping packet

Ten problem to kwestia domyślnej konfiguracji linuxa, która nadaje się do hostingu i małych sieci.

Kilka sugestii jak zrobić z linuxa router na każdą skalę, 10G to nie problem! 😛

Bez komentarza …  jeśli się boisz … tych ekstremalnych zmian skontaktuj się:  [email protected]

/sbin/ifconfig eth0 txqueuelen 2000
/sbin/ifconfig eth1 txqueuelen 2000

ethtool -G eth0 rx 4096 tx 4096
ethtool -G eth1 rx 4096 tx 4096

sysctl -w net.ipv4.tcp_sack=0

#ip_conntrack
echo 17473 > /proc/sys/net/ipv4/netfilter/ip_conntrack_count
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 1200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#ipv6 off
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

#source route
sysctl -w net.ipv4.conf.lo.accept_source_route=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.eth1.accept_source_route=0

#redirs#zmina.06.04.2017
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.eth1.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.eth1.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0

#IPV4
sysctl -w net.ipv4.tcp_no_metrics_save=1
sysctl -w net.ipv4.tcp_moderate_rcvbuf=1
sysctl -w net.core.netdev_max_backlog=30000

sysctl -w net.ipv4.tcp_timestamps=1
sysctl -w net.ipv4.tcp_sack=1

#IPV4 MEM
sysctl -w net.ipv4.tcp_rmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_wmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_mem=”4096 65536 33554432″
sysctl -w net.core.rmem_max=”33554432″
sysctl -w net.core.wmem_max=”33554432″
sysctl -w net.core.rmem_default=”33554432″
sysctl -w net.core.wmem_default=”33554432″
sysctl -w net.core.optmem_max=”33554432″
echo 1 > /proc/sys/net/ipv4/tcp_moderate_rcvbuf
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
#IPV4 ARP
sysctl -w net.ipv4.conf.all.arp_ignore=1
sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net/ipv4/conf/default/arp_ignore=1
sysctl -w net/ipv4/conf/default/arp_announce=1

sysctl -w net/ipv4/conf/eth0/arp_ignore=1
sysctl -w net/ipv4/conf/eth0/arp_announce=1
sysctl -w net/ipv4/conf/eth1/arp_ignore=1
sysctl -w net/ipv4/conf/eth1/arp_announce=1

sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.default.forwarding=1

To są konfiguracje  systemu, potem mądry Firewall .

Naprowadzenie … state ESTABLISHED  pomaga 😀

pozdrawiam

jr

Kumaty admin załapie ,  resztę proszę o kontakt.

ps.

Ponad 7GB na jednym routerku obsługuję. 😉

Spam jaki jest każdy wie.

Podczas wszelakich testów konfiguracyjnych warto na jakiś czas sprawić aby każda przesyłka, którą nasz system oznaczył jako SPAM została przekazana ( kopia ) do administratora.

W przypadku sieve, starczy w globalnej konfiguracji dodać wpis:

require [„envelope”, „fileinto”, „subaddress”, „copy”];

if header :contains „X-Spam-Flag” „YES” {
redirect :copy „[email protected]”;
}

Jak wyciąć niepożądany ruch już w tablicy routingu, zamiast obciążać firewall/filtry treści/itp

Co robi ten zabieg? a no blokuje masę syfu … czytanie skryptu wytłumaczy 😛

PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"

rm /tmp/ipki
/usr/bin/wget -q http://www.sshbl.org/lists/base_all.txt  -O /tmp/ipki


rm /tmp/ipki2
/usr/bin/wget -q http://admin.szpital.zabrze.pl/devnulroute  -O /tmp/ipki2

rm /tmp/ipki3
/usr/bin/wget -q https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt  -O /tmp/ipki3

rm /tmp/ipki4
/usr/bin/wget -q https://feodotracker.abuse.ch/blocklist/?download=ipblocklist  -O /tmp/ipki4




adresy=`route -n | grep \!H | awk '{print $1}'`
for x in $adresy
do
route del -host $x reject
done



adresy=`cat /tmp/ipki | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done


adresy=`cat /tmp/ipki2 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

adresy=`cat /tmp/ipki3 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

adresy=`cat /tmp/ipki4 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

Wczoraj byłem na tego typu zgromadzenie.

Zaprosili na szkolenie / show / konferencję, na miejscu nic tylko propaganda na temat eseta i barracudy.

Wiele informacji naciąganych, promujących konkretne rozwiązania…   ręce opadają, to chyba mój ostatni wyjazd   na bezpłatne „szkolenia”

DAGMA … produkty ok, ale zbyt nachalnie i ….. poczułem się tam jak nie informatyk znający zagadnienia ale jako laik co ma kupić … kupić … kupić

Dobierajcie lepiej targety …

Szacunek za wsparcie ESET … jest rewekacyjne.

Ot moje zdanie 😉

Aktualizacja:

Dziś zadzwonił do mnie mój opiekun techniczny/handlowy firmy Dagma.

Faktycznie nie napisałem że spóźniłem się na spotkanie ( awaria w jednej z serwerowni ), pierwsze z wystąpień było bardzo ogólne, merytoryczne i niepowiązane ze sprzedażą produktów. Więc wygląda na to że wiele straciłem

Niemniej jednak kontakt z Dagma jak zawsze owocny! zaproszenie na czysto techniczne dwa webinaria plus czasowy testowy klucz na  obraz vmware Baracuda firewoll 😉

Za swojej strony coś dodam, na żadnym ze spotkań nikt o tym nie mówił.

Barracuda udostępnia bezpłatnie  bardzo skuteczny RBL – http://www.barracudacentral.org/rbl jego skuteczność jest naprawdę bardzooo dobra. Do tego stopnia że polecam ich wyniki znakować a nie blokować. Starczy jedno złamane konto na serwerze i Oni już wiedzą że serwer ma problem. 😉 Ja na swoich serwerach znakuje ich wyniki na 3 i … masa spamu jest prawidłowo znakowana.

A jak znakuję? a no tak:

header BARRACUDA_BRBL   rbleval:check_rbl(‚b-rbl’,’b.barracudacentral.org.’).

describe BARRACUDA_BRBL Listed: Barracuda Reputation Block List (BRBL).

score BARRACUDA_BRBL      3