The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Блокирование попыток эксплуатации heartbeat-уязвимости в OpenSSL средствами iptables
Пример блокирования  критической уязвимости CVE-2014-0160 в OpenSSL 1.0.1,
позволяющей получить содержимое памяти удалённых серверных и клиентских приложений.


Отражаем в логе все heartbeat-запросы при помощи iptables и модуля u32:

   iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

Блокируем heartbeat-запросы:

   iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Отслеживаем возможные атаки при помощи Wireshark:

   tshark -i interface port 443 -R 'frame[68:1] == 18'
   tshark -i interface port 443 -R 'ssl.record.content_type == 24'
 
09.04.2014 , Источник: http://www.securityfocus.com/archiv...
Ключи: openssl, block, iptables, heartbeat / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аноним, 20:15, 09/04/2014 [ответить] [смотреть все]
  • +/
    А есть способ во FreeBSD реализовать подобную блокировку через ipfw или pf ?
     
     
  • 2.2, Аноним, 20:27, 09/04/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    А в бздях как обычно все для удобства администратора, так что заблокировать паке... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, Аноним, 20:45, 09/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ng_bpf ?
     
  • 2.4, iZEN, 11:57, 10/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Блокируй всё Разрешай только то, что конкретно нужно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, ALex_hha, 13:26, 10/04/2014 [^] [ответить] [смотреть все]  
  • +/
    > "Блокируй всё. Разрешай только то, что конкретно нужно."

    ты прям кэп :D

     
  • 3.6, тигар, 13:33, 10/04/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    изя, а ты жжож напалмом вот скажи, к примеру, https конкретно нужно или конкрет... весь текст скрыт [показать]
     
     
  • 4.20, тролим толсто, 10:57, 22/04/2014 [^] [ответить] [смотреть все]  
  • +/
    А зачем? его же не удобно фильтровать. text/plain наше усе :)
     
  • 3.15, ананим, 19:35, 11/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    ты совершенен в своём невежестве.
     
  • 3.21, Аноним, 16:41, 27/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Прально, разрешай выход только на 80-е порты А вот с 5222 портом такое не про... весь текст скрыт [показать]
     
  • 2.16, Sabakwaka, 13:08, 12/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А нету способа обновиться Типа, ставишь исправленную версию Не Никак ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Адекват, 15:44, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    > Не? Никак?

    Можно, но тогда будет не прикольно


     
  • 2.18, Алекс, 11:51, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http://lists.freebsd.org/pipermail/freebsd-net/2008-July/019086.html
     
  • 2.19, iZEN, 18:09, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Через PF с помощью классификатора Ethernet-фреймов http www openbsd gr faq pf... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Онаним, 16:37, 10/04/2014 [ответить] [смотреть все]  
  • +/
    Вот там сказано:
    The rules have been specifically created for HTTPS traffic and may be
    adapted for other protocols; SMTPS/IMAPS/...

    Это получается, что нужно так:
    iptables -t filter -A INPUT -p tcp --dport 465(995) -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

     
     
  • 2.11, Andrey Mitrofanov, 11:33, 11/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну, типа того, в http seclists org fulldisclosure 2014 Apr 143 используют -m m... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, pavlinux, 03:28, 11/04/2014 [ответить] [смотреть все]  
  • +/
    Уже боты долбятся

    msg='[16509541.241630] Heartbeat Attack:
    IN=br0 OUT= PHYSIN=eth0
    MAC=20:73:33:a3:e8:39:01:21:48:05:3e:12:18:38
    SRC=68.52.212.176
    DST=111.33.55.44
    LEN=60 TOS=0x00 PREC=0x00 TTL=43 ID=37614 DF PROTO=TCP
    SPT=54188 DPT=443 WINDOW=137 RES=0x00 ACK PSH URGP=0

     
  • 1.9, Онаним, 10:51, 11/04/2014 [ответить] [смотреть все]  
  • +/
    Что это за сигнатура "0x18030000:0x1803FFFF"? И будет ли работать правило:
    iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
     
     
  • 2.10, Онаним, 11:06, 11/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Судя по этому, да options OptionParser usage prog server options , descri... весь текст скрыт [показать] [показать ветку]
     
  • 2.12, pavlinux, 11:53, 11/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У меня сегодня около 6 утра сработало,на 465 порту, причем адрес источника - наш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Онаним, 13:13, 11/04/2014 [^] [ответить] [смотреть все]  
  • +/
    iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 52 0x18030000 0x180... весь текст скрыт [показать]
     
     
  • 4.14, pavlinux, 14:56, 11/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет ... весь текст скрыт [показать]
     
  • 1.22, Аноним, 17:09, 27/04/2014 [ответить] [смотреть все]  
  • +/
    Для UDP портов подобное правило годится iptables -t filter -A INPUT -p udp --dp... весь текст скрыт [показать]
     
  • 1.23, VecH, 08:39, 30/04/2014 [ответить] [смотреть все]  
  • +/
    А как это можно в Mikrotik-ах сделать ?
     
     
  • 2.24, Анонимчег, 08:10, 03/05/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Читать документацию Mikrotik, в которой сказано, что RouterOS данной проблеме не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, VecH, 10:22, 03/05/2014 [^] [ответить] [смотреть все]  
  • +/
    Мне это надо что бы мониторить сквозной трафик из вне в dmz на предмет попыток... весь текст скрыт [показать]
     
  • 2.25, Анонимчег, 08:15, 03/05/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http://forum.mikrotik.com/viewtopic.php?f=2&t=84005
     
  • 1.28, pincher, 11:24, 11/05/2014 [ответить] [смотреть все]  
  • +/
    Уязвимые продукты Киски Список будет обновляться по мере расследования инцидент... весь текст скрыт [показать]
     
     
  • 2.33, linux must _RIP__, 19:35, 27/05/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    связалась циска с линуксом и получила себе такой подарок..
     
     
  • 3.34, Andrey Mitrofanov, 09:44, 28/05/2014 [^] [ответить] [смотреть все]  
  • +/
    > связалась циска с линуксом и получила себе такой подарок..

    Тебе с РИПом в мозгу даже такой подарок не светит. Передёргивать с openssl на "линукс", как симптоматично... Пациент, таблетки!

     
  • 3.36, Аноним, 22:45, 09/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Пади ж ты, а сколько в самой Цыцке анального добра помимо этой уязвимости в библ... весь текст скрыт [показать]
     
  • 1.29, Аноним, 00:50, 14/05/2014 [ответить] [смотреть все]  
  • +/
    Кто расскажет, зачем эти попытки блокировать, если уязвимость устранена?
     
     
  • 2.30, Andrey Mitrofanov, 09:37, 14/05/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Кто расскажет, зачем эти попытки блокировать, если уязвимость устранена?

    Для экономии электричества.
    На своей стороне, и перевод её, экономии, в расход на стороне ботнета.

     
     
  • 3.32, Аноним, 04:35, 25/05/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    тогда почему там DROP, а не TARPIT?
     
  • 2.35, leon55, 11:41, 02/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Например, не в любом продакшне вы можете с лёгкостью апдейтить пакеты :).
    Некоторым проще временно (с) добавить правило в файрволл, а потом, при возможности - сделать yum update openssl :).
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor