MOLEHAND Solutions - Nagyvállalati megoldások mindenkinek

 
Nyomtat  
Author: MOLEHAND Created: 2008. 09. 26. 23:33
Biztonság

By Molnár Péter on 2014. 05. 26. 12:48

Trükkös DNS támadásban vett részt az egyik ügyfelünk gépe. A lényeg, hogy hamisított DNS kéréseket kapott, amire válaszolt a megtámadott gépnek, amit így eltömített válaszokkal a többi pár száz géppel együtt, akik szintén részt vettek a támadásban.
 
Mi történt?
- Windows alapú szerver volt publikus IP-val
- AD szolgáltatás (és ennek megfelelően DNS) futott rajta
- A tűzfalon nyitva volt a DNS server port (Valószínűleg az AD wizzard nyitotta ki, ami LAN környezetben teljesen normális)
A legtöbb AD/DNS szerver nyilván nem érintett, mivel LAN-on vannak (router mögött), ahol általában nincs beforgatva a 53-as port.
Figeljünk erre:
- Van-e olyan szerver ami publikus IP címmel rendelkezik? Ha igen, nézzétek át mik vannak engedélyezve a tűzfalán és csak az legyen, ami tényleg szükséges.
- Van-e olyan router, ahol nem csak portforward, hanem teljes szerver publikálás (vagy DMZ) van beállítva. (Ezt lustaság és a portforward hiánya/primitívsége okozhatja)
A második verzió simán előfordulhat.
A nyitott DNS-t így ellenőrizhetjük egy külső cmd –ből:
nslookup
server
publikusIP
index.hu
Ha timeout-ot kapunk, akkor nincs nyitva. Ha válaszol, akkor probléma van, tiltsuk le. (Kivéve pl. az MHWEB-et ami publikus DNS szerver, tehát az a feladata, hogy az authoritív zonák tekintetében válaszoljon. +őt a TMG védi azzal, hogy észreveszi, ha túl sok kérés jön egy gépről és letiltja)

By Molnár Péter on 2014. 01. 15. 12:30

PFX > PEM
 
openssl.exe pkcs12 -in forrás.pfx -nocerts -out PrivateK
ey.pem -nodes
 
openssl.exe pkcs12 -in forrás.pfx -clcerts -nokeys -out PublicCert.pem
 
Felhasználás: Windowsban kiállított certificate Linux, vagy hmail formátumra konvertálás
 
PEM > PFX
 
openssl pkcs12 -export -out cél.pfx -inkey PrivateKey.pem -in PublicCert.pem
 
Felhasználás: Linux tanúsítvány TMG-re mozgatása
 
DER (.crt .cer .der) > PEM
openssl x509 -inform der -in PublicCert.cer -out PublicCert.pem
 
PEM file to DER (.crt .cer .der)
openssl x509 -outform der -in PublicCert.pem -out PublicCert.cer
 
 

By Molnár Péter on 2012. 02. 24. 12:06

A tanúsítványok olyan állományok amik egy asszimetrikus kódolású kulcspár publikus, privát, vagy mindkét párját tartalmazzák. Számos paraméter jellemzi őket. A legfontosabbak:
  • Kibocsájtó (Ki a kiállító szervezet/melyik szerver állította ki)
  • Érvényesség: Mettől meddig használható a tanúsítvány
  • Nevek (Subject, SAN, Issied to) azok a cimkék, amik azonosítják a felhasználó helyet. (Pl. web szerver esetében az URL)
  • Visszavonási lista helye: (Itt ellenőrizhető visszavonták-e esetleg a tanúsítványt a kiállítás óta)
  • Felhasználás módja: Milyen célokra használható: pl. webserver, e-mail aláírás stb.
  • Milyen algoritmusokat használtak az előállításához

A hiteleségét és megbízhatóságát zek alapján dönti el a kliens a felhasználáskor. Windows alatt 2 féle képpen láthatjuk:

A programban (pl. böngészőben az URL melletti lakat) megnézhetjük a használt tanúsítványt, vagy a "Certificates" MMC SnapIn segítségével vizsgálhatjuk. 

By Halász István on 2008. 03. 29. 0:46

Gondoltam megosztom veletek e tanulságos történetet, mely ismerősömmel esett meg:
 
"Egy ismerosom adta ide a laptopjat, hogy nem igazan mukodik mar jol, 
meg kene nezni. Elegge tele volt szemettel, a kovetkezo dolgokat 
tettem vele:
1. Masik gepben virusok utan kereses
2. Viruskergeto, spyware kereso telepitese (nod32, spybot)
3. Kerio tuzfal telepitese - es ennel a resznel jott elo par erdekesseg.

Az ntfs fajlrendszerben van lehetoseg ugy eltarolni informaciokat, 
hogy azt az atlag felhasznalo ne lassa. Ezt ADS-nek hivjak (Alternate 
Data Stream). Legegyszerubben ugy lehet megmutatni, hogy a futtatasba 
beirjuk, hogy notepad c:\fedofile.txt:tartalom A notepadba irhatunk 
barmit. Mentsuk el, majd nezzuk meg a filet. Lathato, hogy 0 byte 
hosszu. belenezve ures. Az elozo tartalmat visszakpjuk, ha ujra 
futtatjuk az elozo parancsot.

Nos tehat a kis kitero utan. A kerio eszrevett, egy a kellemetlen 
alkalmazasok altal hasznalt technikat (code injection), amelyet az 
svchot.exe:exe.exe illetve az svchost.exe:ext.exe alkalamzas 
probalkozott. Amig nem tettem fel a kerio-t addig nem jottem ra, 
honnan jon vissza a mocsok mindig, illetve milyen alkalmazas 
kommunikal kifele folyamatosan (netstat -an).

Az ilyenmodon eldugott adatokat egyszeruen lehet latni, csak 
telepiteni kell az strmext.dll-t. Ezt a microsoft oldalarol lehet 
letolteni, ntfsext.exe-t kell keresni. Amit kicsomagol, az 
alkonyvtarban van benne a dll. Regisztralni a regsvr32 strmext.dll 
parancsal lehet.

A kiegeszites lenyege, hogy az explorerbol lathatova valnak a 
stream-ek, illetve torolhetjuk is azokat (a fajlon jobb klikk, 
tulajdonsagok, streams ful). Miutan innen toroltem a rejtett fajlokat, 
illetve a registry-bol is kitoroltem oket, ujrainditas utan megszunt a 
problema."

 

Számítsa ki költségeit
  kalkulátorunkkal

tovább    

és nyerje meg
50 000 Ft értékű

ajándékunkat  

Akciós ajánlatunk

 Több szolgáltatót is volt szerencsém kipróbálni. Jelenleg minden projektünk a MOLEHAND-nél van elhelyezve, mert Ők nem csak egy szelet számítógépet adnak, hanem valódi szolgáltatást: Akármibe ütközök számíthatok a gyors és szakszerű reakcióra!