The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обход правил iptables с использованием модулей трекинга FTP-..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от opennews on 27-Дек-09, 20:20 
В рассылке netfilter-devel опубликован (http://marc.info/?l=netfilter-devel&m=126190148319485&w=2) способ обхода правил фильтрации iptables с использованием модуля nf_conntrack_ftp. Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. Весь процесс происходит совершенно незаметно для пользователя и не требует каких-то особых разрешений для веб-браузера. Вкупе с модулем nf_nat_ftp, метод позволяет также получать доступ к произвольным портам хостов локальной сети, находящимися за NAT.

Продемонстрированный эффект не вызван ошибкой разработчиков, а является проблемой слабо защищенной, но довольно распространенной конфигурации. Для эксплуатации уязвимости могут быть также использованы также и другие способы с другими хелперами conntrack. Рекомендуется проверить конфигурацию и/или временно отключить модули nf_conntrack_ftp, sip и подобные.


Например, при использовании модуля nf_conntrack_ftp в ...

URL: http://marc.info/?l=netfilter-devel&m=126190148319485&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=24832

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обход правил iptables с использованием модулей трекинга FTP-..."  +1 +/
Сообщение от ро on 27-Дек-09, 20:20 
как вариант перед "-m state --state ESTABLISHED,RELATED -j ACCEPT" добавить правила блокирующие пакеты на незащищенные порты.

костыль конечно, но для параноиков сойдет :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от ро on 28-Дек-09, 11:47 
iptables -A INPUT -p tcp -m helper --helper ftp -p tcp ! --dport 1024:4096 -j DROP

или

iptables -A INPUT -p tcp --sport 20 ! --dport 1024:4096 -j DROP

(запрешаем коннект на порты которые не лежат в диапазоне 1024:4096)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Evgeniy (??) on 30-Дек-09, 03:04 
А модуль открывает _только соединения с --sport 20 ?
ему нельзя сказать, чтобы открыть на указанный порт с --sport != 20  ?

>iptables -A INPUT -p tcp -m helper --helper ftp -p tcp !
>--dport 1024:4096 -j DROP
>
>или
>
>iptables -A INPUT -p tcp --sport 20 ! --dport 1024:4096 -j DROP
>
>
>(запрешаем коннект на порты которые не лежат в диапазоне 1024:4096)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

71. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от ро on 30-Дек-09, 11:25 
в активном ftp дата-коннект всегда идет с 20 порта
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

81. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Evgeniy (??) on 30-Дек-09, 19:26 
>в активном ftp дата-коннект всегда идет с 20 порта

это я знаю. Вопрос в том, нет ли в том модуле.. дыры, позволяющей не с 20-го 8-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Обход правил iptables с использованием модулей трекинга FTP-..."  –6 +/
Сообщение от mitya (ok) on 27-Дек-09, 20:58 
Не в тему, но хорошо бы pf на линукс портировать.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от i (??) on 28-Дек-09, 08:51 
вот именно, не в тему. pf тут нафиг не нужен.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от User294 (ok) on 28-Дек-09, 10:18 
Не понятно при чем тут вообще pf. Действительно не в тему.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Обход правил iptables с использованием модулей трекинга FTP-..."  +1 +/
Сообщение от аноним on 27-Дек-09, 21:03 
FTP вообще давно пора запретить.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Обход правил iptables с использованием модулей трекинга FTP-..."  +1 +/
Сообщение от User294 (ok) on 28-Дек-09, 10:19 
>FTP вообще давно пора запретить.

Действительно, удивительно дебильно сделанный протокол.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 27-Дек-09, 21:35 
>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу.

Це троян. Причем тут айпитаблес.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Обход правил iptables с использованием модулей трекинга FTP-..."  –1 +/
Сообщение от Аноним (??) on 27-Дек-09, 21:55 
>>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу.
>
>Це троян. Причем тут айпитаблес.

При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от аноним on 27-Дек-09, 22:41 
>При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables.

Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно аналогичный эффект.

Так что конкретный фаервол тут не при чем.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Обход правил iptables с использованием модулей трекинга FTP-..."  +1 +/
Сообщение от Просто Лось. on 27-Дек-09, 23:40 
Вот именно. Вообще непонятно, в чём новость. Это документированная всем известная фича. Все правила всегда пишутся с учётом этих вещей. Даже примеров использования этой фичи в инете море (навскидку, вспоминается статья во phrack скольки-то летней давности на примере трекинга IRC-протокола).
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Обход правил iptables с использованием модулей трекинга FTP-..."  +1 +/
Сообщение от Антон (??) on 28-Дек-09, 09:54 
Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не отслеживает всю цепочку при инициировании активного соединения. Одно дело когда соединиться на произвольный порт можно только после обращения к FTP, другое дело - после обращения к web-скрипту. Conntrack_ftp должен позволять выполнять обратные PORT команды только для хостов к которым до этого в течение нескольких секунд было _успешное_ обращение по 21 и только 21 порту (conntrack модуль должен отследить, что команда PORT выполнена именно в этом соединении, т.е. поймали в потоке для FTP сессии PORT x,x,x,x,y,z и разрешаем только эти "x,x,x,x,y,z"). Также conntrack_ftp не должен давать через PORT соединяться на системные номера портов ( < 1024).

Поэтому, IMHO, это самая настоящая уязвимость, вызванная недальновидностью разработчиков conntrack модулей, которые не достаточно плотно вгрызаются в логику транслируемых сессий.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Обход правил iptables с использованием модулей трекинга FTP-..."  +1 +/
Сообщение от Антон (??) on 28-Дек-09, 10:02 
Резюмирую, чтобы меня правильно поняли: через FTP такая возможность остается, но проблема именно в том, что такое сейчас можно сделать через web. Вынудить пользователя открыть web-страницу - элементарно. Заманить пользователя на FTP и выполнить нужную PORT команду - нереально.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от ро on 28-Дек-09, 10:36 
либо вы не мыслите логически, либо читали статью по диагонали.

скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт клиента (если конечно правилами iptables это не запрещено).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Антон (??) on 28-Дек-09, 12:23 
>скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить
>PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт
>клиента (если конечно правилами iptables это не запрещено).

Вы правы, в примере fake-server.py запускается на 21 порту, web-скрипт лишь выступает в роли ftp-клиента.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от User294 (ok) on 28-Дек-09, 10:26 
>Це троян. Причем тут айпитаблес.

Издеваетесь? Проблема в дебильной логике работы FTP протокола - айпитаблес вынужден отслеживать FTP сессии и динамически открывать для них порты. На самом деле - при таком паскудстве можно считать что фаера почти нет: Если хоть как-то удастся убедить ремотного юзера изобразить нечто похожее на ФТП сессию - готов клиент, нужный порт расфайрволен и можно на него долбиться прямым соединением. Как будто фаера и нет. При том, порт может быть произвольный - FTP позволяет любой. В итоге вместо фаера получается сито. При том - я не думаю что такие проблемы только у айпитаблеса, по идее они у всех кто может трекать FTP сессии. А кто не может - у них проблемы с неработой FTP, соответственно :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 28-Дек-09, 18:54 
>Издеваетесь? Проблема в дебильной логике работы FTP протокола - айпитаблес вынужден отслеживать FTP сессии и динамически открывать для них порты.

Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить.

> На самом деле - при таком паскудстве можно считать что фаера почти нет

Для вас это новость? Если не ошибаюсь даже в том же руководстве по айпитаблес для начинающих эта проблема описана.

>При том - я не думаю что такие проблемы только у айпитаблеса, по идее они у всех кто может трекать FTP сессии.

Ну если вы думаете ровно так же как и я, что айпитаблес тут не при делах, то зачем столько много букв?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от User294 (ok) on 29-Дек-09, 10:31 
>Протокол 1971 года выпуска, далеко не идеальный

Я бы сказал, он феноменален по дебильности и архаичности его устройства. Ну, в 1971 может и не умели делать лучше, но с тех пор человеческий разум ушел вперед.

>но до сих пор нечем заменить.

Да бросьте вы. Есть добрая дюжина протоколов на замену. А если ни 1 не нравится можно наконец задизайнить новый, с шахматами и поэтессами.
А вот некоторые минусы FTP:
1) Нет integrity check файла. Так что слив DVD-sized исоху и обнаружив что у него не сходится md5, останется заново перекачивать весь файл. Поскольку метода понять где битый кусок вообще нет.
2) На заливке кучи мелочи FTP просто нереально тормозит.
3) Он всасывает на файрволах. Его крайне трудно нормально спроксировать.
4) Он подвержен ряду тупых атак. Он также заставляет открывать под атаки другие системы.
5) Шифрования по сути нет (FTPS малопопулярен), с кодировками вечно горбизна, etc.

Общий вывод? Закопать и не вспоминать. Лучшее что можно с ним сделать.

>Для вас это новость? Если не ошибаюсь даже в том же руководстве
>по айпитаблес для начинающих эта проблема описана.

Нет, для меня это не новость но как по мне

>Ну если вы думаете ровно так же как и я, что айпитаблес
>тут не при делах, то зачем столько много букв?

Может быть поможет кому-то побыстрее отказаться от юзежа этой архаики. Тогда и закопать можно будет попроще. Туда же и SMTP всякие надо с POP3, из-за которых нынче 95% мыла - спам. Это ж пипец как круто - 95% затраченных на серваки бабок работает на рекламеров которые задарма гоняют мегатонны своего срача.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 29-Дек-09, 11:42 
>>Протокол 1971 года выпуска, далеко не идеальный
>
>Я бы сказал, он феноменален по дебильности и архаичности его устройства. Ну,
>в 1971 может и не умели делать лучше, но с тех
>пор человеческий разум ушел вперед.
>
>>но до сих пор нечем заменить.
>
>Да бросьте вы. Есть добрая дюжина протоколов на замену. А если ни
>1 не нравится можно наконец задизайнить новый, с шахматами и поэтессами.

smb? nfs? ssh? люстры с похмельем?  

А насчет изобретения очередного велосипеда, вначале нужно определится с протоколом на бумаге, боюсь что ничего не получится.

>Общий вывод? Закопать и не вспоминать. Лучшее что можно с ним сделать.
>Может быть поможет кому-то побыстрее отказаться от юзежа этой архаики. Тогда и
>закопать можно будет попроще. Туда же и SMTP всякие надо с
>POP3, из-за которых нынче 95% мыла - спам. Это ж пипец
>как круто - 95% затраченных на серваки бабок работает на рекламеров
>которые задарма гоняют мегатонны своего срача.

Опять же попробуйте нарисовать неуязвимую замену для SMTP на бумаге, хотя бы в виде блок-схемы, боюсь что у вас ничего не получится. Чем вам POP3 не угодил не понятно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Demo (??) on 29-Дек-09, 13:39 
> Опять же попробуйте нарисовать неуязвимую замену для SMTP на бумаге, хотя бы в виде блок-схемы, боюсь что у вас ничего не получится.

Не нужна неуязвимая система. Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. Такая система есть и давно используется и расширяется для нужд MILCOM (NATO и т. д).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 29-Дек-09, 19:21 
>Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера.

Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно пройдена спамерами в первый же день. Никаких спамерских серверов.

Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам о неэффективности велосипедостроительства.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от XoRe (ok) on 30-Дек-09, 00:32 
>>Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера.
>
>Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей,
>с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах,
>як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно
>пройдена спамерами в первый же день. Никаких спамерских серверов.
>
>Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам
>о неэффективности велосипедостроительства.

Можно привести пример немного из другой оперы.
Часто получаете спам на джаббер?
А если ещё и антибот с антиспамом включить?
А можно ещё и явно запретить принимать что-то от неизвестных контактов.
А даже если спам будет проходить, то механизмов борьбы с ним в im гораздо больше.

Аську прошу не приводить в обратный пример - это как раз пример спаммерского сервера)
Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на десятки процентов.
Есть над чем подумать)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

62. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от аноним on 30-Дек-09, 05:03 
>Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на
>десятки процентов.
>Есть над чем подумать)

Думать не о чем - отключались "головы" ботнетов которые хостились в этих ДЦ. Вскоре появлялись в других местах и всё налаживалось. С наступающим.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

63. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 30-Дек-09, 07:35 
>[оверквотинг удален]
>>Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей,
>>с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах,
>>як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно
>>пройдена спамерами в первый же день. Никаких спамерских серверов.
>>
>>Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам
>>о неэффективности велосипедостроительства.
>
>Можно привести пример немного из другой оперы.
>Часто получаете спам на джаббер?

Мой jabber не публичен, а другими im практически не пользуюсь.

>А если ещё и антибот с антиспамом включить?

Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов.

>А можно ещё и явно запретить принимать что-то от неизвестных контактов.

Во-первых  SMTP это позволяет, "белые списки" никто не отменял.

Во-вторых представьте картину:
Захожу, так на сайт некой компании N, вижу что они продают бублики из козъего сыра с левой резьбой на M32, пишу им письмо с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в ответ тишина, письмо было порезано как от неизвестного контакта, компания N в пролете.

>Аську прошу не приводить в обратый пример - это как раз пример
>спаммерского сервера)
>Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на
>десятки процентов.
>Есть над чем подумать)

От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

65. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от XoRe (ok) on 30-Дек-09, 10:32 
>>А если ещё и антибот с антиспамом включить?
>
>Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов.

Я имею в виду, в клиенте включить.
Не на сервере.

>>А можно ещё и явно запретить принимать что-то от неизвестных контактов.
>
>Во-первых  SMTP это позволяет, "белые списки" никто не отменял.
>
>Во-вторых представьте картину:
>Захожу, так на сайт некой компании N, вижу что они продают бублики
>из козъего сыра с левой резьбой на M32, пишу им письмо
>с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в
>ответ тишина, письмо было порезано как от неизвестного контакта, компания N
>в пролете.

Опять же, в клиенте, не на сервере.
А в таких случаях обычно должен стоять graylist, но никак не blacklist.
Кстати, такие ситуации и сейчас есть - каждый настраивает SMTP сервер в меру своей распущенности)
Я имею в виду, что бывали ситуации, что и у компаний покрупнее отфильтровывались письма.
Тут в обсуждениях почтовых серверов и антиспам систем люди иногда писали, какие меры борьбы со спамом они принимали.
Помнится, предлагали блочить все китайские ip адреса.
Для некоторых контор, кстати, это эффективная мера)

Есть и ещё один момент - много ли почтовых провайдеров предоставляют доступ своих клиентов к настройке антиспама (которые относятся к их ящику).
Хотя тут можно настроить на уровне клиента.

>От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не
>виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.

Насчет виновности - насколько я помню, были прецеденты, закрывали.
На это можно посмотреть и с другой точки зрения:
Если с хостера идет спам, его ip адреса попадают в блеклист.
Что ведет к проблемам для других его клиентов.
Что ведет к тому, что хостер начинает шевелиться после их обращений в его техподдержку.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

74. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 30-Дек-09, 13:46 
>>>А если ещё и антибот с антиспамом включить?
>>
>>Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов.
>
>Я имею в виду, в клиенте включить.
>Не на сервере.

Как вы себе это представляете, "У вас новое письмо, отгадайте загадку для его получения." Так что-ли? Где смысл?

>[оверквотинг удален]
>>
>>Во-вторых представьте картину:
>>Захожу, так на сайт некой компании N, вижу что они продают бублики
>>из козъего сыра с левой резьбой на M32, пишу им письмо
>>с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в
>>ответ тишина, письмо было порезано как от неизвестного контакта, компания N
>>в пролете.
>
>Опять же, в клиенте, не на сервере.
>А в таких случаях обычно должен стоять graylist, но никак не blacklist.

SMTP и это позволяет.

>Кстати, такие ситуации и сейчас есть - каждый настраивает SMTP сервер в
>меру своей распущенности)
>Я имею в виду, что бывали ситуации, что и у компаний покрупнее
>отфильтровывались письма.
>Тут в обсуждениях почтовых серверов и антиспам систем люди иногда писали, какие
>меры борьбы со спамом они принимали.
>Помнится, предлагали блочить все китайские ip адреса.
>Для некоторых контор, кстати, это эффективная мера)

SMTP и это позволяет.

>Есть и ещё один момент - много ли почтовых провайдеров предоставляют доступ
>своих клиентов к настройке антиспама (которые относятся к их ящику).
>Хотя тут можно настроить на уровне клиента.

Я не хочу гадать много или не много, вы таки скажите чем  все таки то что вы предлагаете отличается от SMTP?

>>От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не
>>виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.
>
>Насчет виновности - насколько я помню, были прецеденты, закрывали.
>На это можно посмотреть и с другой точки зрения:
>Если с хостера идет спам, его ip адреса попадают в блеклист.
>Что ведет к проблемам для других его клиентов.
>Что ведет к тому, что хостер начинает шевелиться после их обращений в
>его техподдержку.

Вот не нужно перекладывать проблему с больной головы на здоровую, у вашего хостера и провайдера своих проблем хватает уж поверьте.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

72. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Demo (??) on 30-Дек-09, 11:30 
> Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов.

Для рассылки большому количеству абоннтов есть server-side списки рассылки с подпиской. Если юзверь вздумает расслыать "письма счастья" и проч. ---- воспринимать как злоупотребление.

> Во-первых  SMTP это позволяет, "белые списки" никто не отменял.

Это не работает. Авторизации отправителя нет.

> Захожу, так на сайт некой компании N ... пишу им ... коммерческое предложение ...
> а в ответ тишина

Эта тема мусолится с 90-х годов. Из недавнего: Вот, пришло от Juniper-а мне письмо, что почту с бесплатных ящиков они обрабатывать не будут. И таких примеров ---- масса. Если ты крупный корпоративный заказчик --- будь добр, пиши с корпоративного мыла.

> От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.

Обеими руками "За!" Ключевое слово "может".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

75. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 30-Дек-09, 14:08 
>> Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов.
>
>Для рассылки большому количеству абоннтов есть server-side списки рассылки с подпиской. Если
>юзверь вздумает расслыать "письма счастья" и проч. ---- воспринимать как злоупотребление.

Представьте что вы работаете в телекоме, раз в месяц вам необходимо разослать счета по всем абонентам, еще необходимо рассылать письма с информацией о предстоящих технических работах и вызванных ими перерывах в связи.

Представьте что вы работаете в крупной компании-дистрибьюторе и вам необходимо извещать всех ваших дилеров обо всех изменениях в цене, условиям предоставления услуг, скидкам, изменениям в партнерских программах, новых продуктах и новых услугах.

Ваши действия при предлагаемой вами схеме?


>
>> Во-первых  SMTP это позволяет, "белые списки" никто не отменял.
>
>Это не работает. Авторизации отправителя нет.

И не будет. Авторизация может работать только на основе факта известности существования клиента.

>> Захожу, так на сайт некой компании N ... пишу им ... коммерческое предложение ...
>> а в ответ тишина
>
>Эта тема мусолится с 90-х годов. Из недавнего: Вот, пришло от Juniper-а
>мне письмо, что почту с бесплатных ящиков они обрабатывать не будут.

Черт я не знаю, что такое не бесплатный ящик электронной почты, нехай уже 2010 год на дворе, да и как определить платишь ты за него или нет

>И таких примеров ---- масса. Если ты крупный корпоративный заказчик ---
>будь добр, пиши с корпоративного мыла.

А если мелкий не имеющий своего сервера, принимай 200 миллиграмм отсосина на ночь.
А как определить корпоративное мыло или нет?

>> От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.
>
>Обеими руками "За!" .

За что вы "За!", я вроде ничего не предлагал.

>Ключевое слово "может"

Вы администровали почтовый сервер? Вопрос на миллиард долларов, как в реальном времени стопроцентно отсеять спам идущий от любого из ваших тысяч клиентов?

В общем я так и не вижу, что вы предлагаете вместо SMTP.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

78. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Demo (??) on 30-Дек-09, 16:03 
> Представьте что ... раз в месяц вам необходимо разослать счета по всем абонентам

Я же сказал: список рассылки по подписке.

> Черт я не знаю, что такое не бесплатный ящик электронной почты,
> нехай уже 2010 год на дворе, да и как определить платишь ты за него или нет

Не нужно юродствовать. Так чтобы короче: на Juniper с mail.ru не слать.

> А если мелкий не имеющий своего сервера ... ?

Мелкий купит себе virtual mail hosting за $30/year и не будет пудрить мозги.

> Вы администровали почтовый сервер?

Да.

> Вопрос на миллиард долларов, как в реальном времени стопроцентно
> отсеять спам идущий от любого из ваших тысяч клиентов?

Ещё раз повторю: не нужно 100%. Столько даже в морге не дают.
Тут дело катастрофически неэффективных затратах вычислительных
мощностей и энергоресурсов используемых на борьбу с mail abuse.
Причём в убытке как раз провайдеры и их клиенты.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

79. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 30-Дек-09, 16:43 
>Я же сказал: список рассылки по подписке.

Что это такое? Желательно с ссылкой на RFC.

>Не нужно юродствовать. Так чтобы короче: на Juniper с mail.ru не слать.

Такие бедная контора, что не может на антиспам разорится, или просто совсем положить на клиентов? Кстати попробуйте перекрыть у себя на сервере почту с mail.ru, через сколько времени вам вставят, и ограничится-ли только лишением премии? Если сервер конечно не "локалхост", а реальный в эксплуатации.

>Мелкий купит себе virtual mail hosting за $30/year и не будет пудрить мозги.

А смысл? Гемора на порядок больше, не говоря про затраты денег и времени, а главное спама то меньше не будет, в поле from можно поставить что-угодно, и почту де-факто можно на сервер с любого адреса послать, так что ваше ограничение совсем никак не повлияет на спамеров, зато для ваших клиентов доставит огромные сложности.

>> Вы администровали почтовый сервер?
>Да.

И вам охота ежедневно отвечать за корреспонденцию, от клиентов которых вы в глаза не видели? Вот сейчас праздники новогодние, вам охота выходить на работу (пусть даже удаленно), потому что из-за какого-то "любителя клубнички" ваш почтовик попал в блеклист.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

82. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Demo (??) on 31-Дек-09, 01:05 
> И вам охота ежедневно отвечать за корреспонденцию, от клиентов которых вы в глаза не видели? Вот сейчас праздники новогодние, вам охота выходить на работу (пусть даже удаленно), потому что из-за какого-то "любителя клубнички" ваш почтовик попал в блеклист.

При авторизации отправителя совсем незачем блеклистить весь сервер, т. к. доподлинно известно с аккаунта какой овцы был отослан спам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

83. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 31-Дек-09, 05:52 
>При авторизации отправителя совсем незачем блеклистить весь сервер, т. к. доподлинно известно с аккаунта какой овцы был отослан спам.

Знаете... надоело.
То вам SMTP не нравится, то оказывается что оно ничего.

То вы предлагаете банить хостеров и провайдеров если от них идет спам, а на вопрос а как этому провайдеру достоверно узнать спам клиентом отправлен или нет, вы отвечаете что это не нужно.

Только что вы предлагали забанить целые сервера (mail.ru).

Потом придумали какие-то "списки рассылки со стороны сервера".

Теперь вот про авторизацию отправителя, мало того что это почти везде есть, ну кроме open relay, ну авторизуется на SMTP сервере клиент, ну отправит сообщение, а как узнать спам идет или нет?

Возьмите документацию уже по SMTP, возьмите бумагу и карандаш, нарисуйте как это все работает, если вам покажется что вы нашли оптимальное решение, возьмите паузу, поищите в гугле,яндексе и т.д., что народ говорит об этом, и если уже совсем уверены, напишите статью, опубликуйте. А вот так изливать поток сознания мало связанного с реальностью, оно никому не нужно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

84. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Demo (??) on 31-Дек-09, 11:46 
> Знаете... надоело.

Да. Надоело объяснять принципы функционирования STANAG 4066 Annex E, XMPP, ACP 142...

Всё прозрачно и с авторизацией отправителя и с многоадресной рассылкой и т.д... В SMTP это необязательные для использования костыли, оттягивающие его смерть. В указанных стандартах  ---- это требования, составляющие сущность функционирования протоколов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

70. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Demo (??) on 30-Дек-09, 11:14 
Так я в исходном посте как-раз и утверждаю, что нет необходимости в строительстве велосипедов. Велосипед изобретён, осталось им только воспользоваться, а не навешивать GPS-навигатор на кусок деревянной доски с прибитыми подшипниками вместо колёс.

"Обычного" пользователя таким образом можно идентифицировать и надавать по шапке за разгильдяйство.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Michael Shigorin email(ok) on 29-Дек-09, 17:45 
> smb? nfs?

В локалке -- да.

> ssh?

Для "вебсайтик залить" -- да, rsync -e ssh -- лучше не придумать.  Ну или WebDAV for the rest of them.

> люстры с похмельем?

Ничего не перепутали?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 29-Дек-09, 19:23 
>> smb? nfs?
>
>В локалке -- да.

Согласен.

>> ssh?
>
>Для "вебсайтик залить" -- да, rsync -e ssh -- лучше не придумать.
> Ну или WebDAV for the rest of them.

Опять же.

>> люстры с похмельем?
>
>Ничего не перепутали?

Не, де факто сетевые файловые системы, вполне сравнимые с nfs.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

69. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от andr.mobi (??) on 30-Дек-09, 10:43 
> smb? nfs? ssh? люстры с похмельем?  

9P рулит
http://ru.wikipedia.org/wiki/9P

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от аноним on 29-Дек-09, 15:55 
> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить.

Что значит нечем? Для чего нечем? Для раздачи файлов от маленьких до больших - HTTP, от больших до очень больших - torrent. Для закачки файлов на свой сервер - SFTP.
Не покрыта, пожалуй, только анонимная закачка - так такие помойки и не нужны вовсе.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 29-Дек-09, 19:34 
>> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить.
>
>Что значит нечем? Для чего нечем? Для раздачи файлов от маленьких до
>больших - HTTP, от больших до очень больших - torrent. Для
>закачки файлов на свой сервер - SFTP.
>Не покрыта, пожалуй, только анонимная закачка - так такие помойки и не
>нужны вовсе.

Отлично, осталось сделать только чтобы та самая пресловутая домохозяйка могла по ссылке в любом браузере открыть, ну и как нибудь решить вопрос со скоростью, хотя это не первостепенно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

77. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от аноним on 30-Дек-09, 15:31 
> осталось сделать только чтобы та самая пресловутая домохозяйка

Пресловутая домохозяйка FTP для закачки не пользуется по определению. Для скачки и http и torrent открываются в браузере.

> ну и как нибудь решить вопрос со скоростью, хотя это не первостепенно

Полагаю, это про SFTP, ибо у других прооколов проблем со скоростью нет.
У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

80. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 30-Дек-09, 17:44 
>Пресловутая домохозяйка FTP для закачки не пользуется по определению. Для скачки и http и torrent открываются в браузере.

Как же она файлами то обменивается?


>Полагаю, это про SFTP, ибо у других прооколов проблем со скоростью нет.

У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня.

Скажем так про ssh вообще, мне так sshfs больше нравится чем sftp. А скорость по определению ниже, так как упирается помимо io, как в остальных протоколах еще и в cpu, потому как криптография, а на множестве воркерах cpu может совсем потухнуть, не говоря уже об "отзывчивости".

>У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня.

Видимо у вас везде гигабит, или один клиент, и все это происходит в локализованном сегменте сети, потому как даже при идеальной связи на 100Mbit iperf таких значений не дает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Michael Shigorin email(ok) on 29-Дек-09, 17:39 
> до сих пор нечем заменить

Вообще-то вовсю используются HTTP (который далеко не замена, но для основной цели -- "получить файлик" -- гораздо лучше подходит, и латентность тоже ниже) и RSYNC (который не то что замена, а бизнес-класс после FTP -- только бы вот ещё браузилку в браузерах).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 29-Дек-09, 19:36 
>> до сих пор нечем заменить
>
>Вообще-то вовсю используются HTTP (который далеко не замена, но для основной цели
>-- "получить файлик" -- гораздо лучше подходит, и латентность тоже ниже)
>и RSYNC (который не то что замена, а бизнес-класс после FTP
>-- только бы вот ещё браузилку в браузерах).

Ну собственно вы сами все написали.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

85. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Andrew email(??) on 09-Янв-10, 03:40 
> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить.

sftp? всмысле ftp over ssh?
я вообще ftp не пользуюсь, ибо дырень та еще, а вот файлы как-то копировать надо и sftp вполне спасает

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от pavlinux email(ok) on 28-Дек-09, 00:09 
Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от demon (??) on 28-Дек-09, 00:14 
Сразу же как их включит на гейте админ. А он их включит сразу же как начнут жаловаться, что FTP не работает.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от pavlinux email(ok) on 28-Дек-09, 02:42 
Ладно, почему состояние сети, протокола, пакета,  влияет на настройку????
Ладно... Адаптация и всё такое...
Тогда,  почему команда пришедшая из одной подсети, влияет на настройки другой подсети?

Если я зашлю пакет с запросом на размер TCP окна в пару терабайт, система раком встанет???
Или из вне, ICMP broadcast, с адресом отправителя 192.168.255.255, роутер всю подсеть загадит? Нет. Так какого ..я тут так?!
  


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Gra2k (ok) on 28-Дек-09, 03:13 
Команды тут не причем, для гейта пакеты вполне нормальные, скрипт просто игнорирует вопли клиента о том на какой порт отвечать.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от User294 (ok) on 29-Дек-09, 10:37 
>Или из вне, ICMP broadcast, с адресом отправителя 192.168.255.255, роутер всю подсеть
>загадит?

Вообще я заметил модную тенденцию: в P2P сетях (ed2k/*mule, torrent) некоторые откровенно инжектят левые адреса. Явно рассчитывая на то что клиенты протупят и будут туда долбиться. И кстати не все клиенты достаточно умны чтобы отсеивать такое свинство :). Правда для меня остается загадкой великий смысл такого срача. Сильно засрать так что-то трудно, нечто типа "just because we can"?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Аноним (??) on 29-Дек-09, 19:10 
> Вообще я заметил модную тенденцию: в P2P сетях (ed2k/*mule, torrent) некоторые откровенно инжектят левые адреса.

В torrent'е с нулём на конце ? тогда это мюТоррент делает, из-за ошибки в реализации протокола PeerExchange (PEX)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от User294 (ok) on 28-Дек-09, 10:59 
>Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям

Обычно этот по дефолту есть. Чтобы ФТП работал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Обход правил iptables с использованием модулей трекинга FTP-..."  +2 +/
Сообщение от Аноним (??) on 28-Дек-09, 00:13 
Предлагаю для ясности убрать из заголовка слово iptables
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Gra2k (ok) on 28-Дек-09, 03:23 
Набор правил написанных невежей, следует блочить порты <49151 , вот если бы был бы обход ограничения по портам,а так это тупой ртфм протокола фтп.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Аноним (??) on 28-Дек-09, 05:42 
>Набор правил написанных невежей, следует блочить порты <49151 , вот если бы
>был бы обход ограничения по портам,а так это тупой ртфм протокола
>фтп.

Дык проблема известная была то, только почему-то не думал никто о ней.

Решение также известно, правда его мало кто используется:
For first case we can avoid problem by changing
net.ipv4.ip_local_port_range and specifying  only these values in
--dport at the "-m state --state" rule.
For second case, we can play with FORWARD chain rules and make its
conntrack-based (and specify --dport for tcp / udp).
We can simple unload conntrack_ftp too.

Кроме того,
>I've just asked friend of mine to connect

remote ftp through a particular 2.4.x ADSL router with probably loaded
ip_conntrack_ftp, and his records showed me, that active ftp worked
without any problems, lsmod was almost empty (i.e. modules really
built-in), but no appropriate rules existed in iptables.

То есть, если у вас коробка с гордой надпись D-Link, Linksys и подобное, то большая вероятность, что модуль там загружен и правила описаны такие же, как и в сообщении.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Touch (??) on 28-Дек-09, 14:13 
frox - прозрачный прокси-сервер для FTP
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от XoRe (ok) on 28-Дек-09, 14:29 
Есть идеи, как с этим бороться?
Я говорю про линукс в дешевых роутерах.

На серверах-то всегда можно отключить ip_conntrack_ftp и говорить "юзайте пассивный ftp".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от ро on 29-Дек-09, 16:13 
>Есть идеи, как с этим бороться?
>Я говорю про линукс в дешевых роутерах.
>
>На серверах-то всегда можно отключить ip_conntrack_ftp и говорить "юзайте пассивный ftp".

поставить открытую прошивку, например openwrt и настроить iptables.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

66. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от XoRe (ok) on 30-Дек-09, 10:36 
>>Есть идеи, как с этим бороться?
>>Я говорю про линукс в дешевых роутерах.
>>
>>На серверах-то всегда можно отключить ip_conntrack_ftp и говорить "юзайте пассивный ftp".
>
>поставить открытую прошивку, например openwrt и настроить iptables.

Вариант, согласен.
Правда, не для всех роутеров есть открытые прошивки.
Плюс есть ADSL модемы, к примеру, компании ZTE.
Дешевые, простые и без открытых прошивок)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Обход правил iptables с использованием модулей трекинга FTP-..."  +3 +/
Сообщение от XoRe (ok) on 28-Дек-09, 15:06 
Да, кстати.
Попробую популярно объяснить, что это такое.
Юзер заходит браузером на страничку хакера.
У него в браузере выполняется JS скрипт.
Этот JS скрипт стучится на сервер хакера, на 21 порт.

Скрипт шлет команды:
USER anonymous
PASS test@example.com
PORT 192,168,1,2,1,189

Роутер юзера видит (за счет nf_conntrack_ftp), что юзер говорит FTP серверу:
"Подключайся ко мне, на ip адрес 192.168.1.2 и на порт 445".
445 порт - это 1*256 + 189 (последние числа в команде PORT).

Роутер думает "Бедный юзер, FTP сервер не сможет до него достучаться. Ведь юзер за натом.".
И переделывает команду "PORT 192,168,1,2,1,189" в команду "PORT 8,8,8,8,201,128".
Где, 8.8.8.8 - это внешний ip адрес роутера (допустим).
А 201,128 - это значит порт 51584 (201*256 + 128).
А ещё добрый роутер делает временный проброс порта 51584 на адрес 192.168.1.2 и порт 445.

Сервер хакера (который слушает на 21 порту) получает команду "PORT 8,8,8,8,201,128".
И пытается ткнуться на ip адрес 8.8.8.8 и порт 51584.
Добрый роутер пробрасывает это соединение.
И сервер хакера без особых усилий достукивается до порта 445 юзера с ip адресом 192.168.1.2.

А дальше уже все зависит от умений и знаний хакера.
Можно не только на 445 порт подключаться, а на любой.
У винды "открытые веселые порты" есть с номерами больше 1024.

Как вы можете видеть, атака НЕ зависит от включения/выключения ftp протокола на компьютере клиента.
FTP клиентом выступает JS скрипт в браузере юзера.

Если у юзера роутер - это ваш сервер, то конечно можно принять меры.
Поставить frox, сделать правила iptables или ещё чего.
Или можно тупо вырубить nf_conntrack_ftp.

А что можно сделать, если у юзера роутер - железка, в которой до настройки фаерволла не добраться?
"не надо юзать дешевые железки" - не вариант.
Как вариант - все-таки включать брандмауэр виндовс.
Ну да, фигня)
А что делать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Huko on 28-Дек-09, 15:42 
А брандмауэр виндовс разве не пропустит это соединение ? Оно же было инициировано самими клиентом (а-ля estalished) или я не до конца понимаю логику работы этого брандмауэра ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от XoRe (ok) on 28-Дек-09, 21:52 
>А брандмауэр виндовс разве не пропустит это соединение ? Оно же было
>инициировано самими клиентом (а-ля estalished) или я не до конца понимаю
>логику работы этого брандмауэра ?

Если по простому, скрипт просит сервера подключиться к нему на 445 порт.
Сам он устанавливает соединение, естественно, не с 445 порта.
Так что это соединение новое, входячее.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Аноним (??) on 28-Дек-09, 16:39 
Ну в домашних роутерах еще в добавок часто включен upnp, так что...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от XoRe (ok) on 28-Дек-09, 23:05 
>Ну в домашних роутерах еще в добавок часто включен upnp, так что...
>

Да вообще.
NAT с такими приколами - вообще не защищает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от const86 (ok) on 29-Дек-09, 18:26 
> NAT с такими приколами - вообще не защищает.

Вроде нат и не для защиты нужен.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

58. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Evgeniy (??) on 30-Дек-09, 01:58 
>А что можно сделать, если у юзера роутер - железка, в которой
>до настройки фаерволла не добраться?
>"не надо юзать дешевые железки" - не вариант.
>Как вариант - все-таки включать брандмауэр виндовс.
>Ну да, фигня)
>А что делать?

менять железки на *wrt - поддерживаемые.

  это приколы мелких коробок...

Закрывать правилом active ftp ,  20-й порт.
там, где можно перестроить правила FW в нужном порядке - ибо часто
ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

стоит 1-м.

В *wrt - непросто, но можно - в консоли. или скриптом в веб-морде dd-wrt.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от pavlinux email(ok) on 30-Дек-09, 04:51 
А можно отрубать команду PORT, или поменять  PORT на PASV ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Ъ on 28-Дек-09, 20:21 
А вообще ощущение, что чувак прочитал википедию:

"Специально для работы FTP протокола через межсетевые экраны, было сделано расширение NAT, называемое NAT-PT (rfc2766), позволяющее транслировать входящие соединения от сервера к клиенту через NAT. В процессе такого соединения NAT подменяет передаваемые данные от клиента указывая серверу истинный адрес и порт с которым сможет соединиться сервер, а потом транслирует соединение от сервера от этого адреса, клиенту на его адрес. Несмотря на все меры и нововведения принятые для поддержки FTP протокола, на практике функция NAT-PT обычно отключается во всех роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз."

http://ru.wikipedia.org/wiki/FTP

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Аноним (??) on 29-Дек-09, 05:36 
>[оверквотинг удален]
>называемое NAT-PT (rfc2766), позволяющее транслировать входящие соединения от сервера к клиенту
>через NAT. В процессе такого соединения NAT подменяет передаваемые данные от
>клиента указывая серверу истинный адрес и порт с которым сможет соединиться
>сервер, а потом транслирует соединение от сервера от этого адреса, клиенту
>на его адрес. Несмотря на все меры и нововведения принятые для
>поддержки FTP протокола, на практике функция NAT-PT обычно отключается во всех
>роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз."
>
>
>http://ru.wikipedia.org/wiki/FTP

проблема не только в ftp.
Кроме того, если раньше невозможно было заставить пользователя зайти на фтп и набрать там определенные комманды, то сейчас это можно сделать совсем незаметно с помощью браузера

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

51. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Ъ on 29-Дек-09, 19:43 
>[оверквотинг удален]
>>поддержки FTP протокола, на практике функция NAT-PT обычно отключается во всех
>>роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз."
>>
>>
>>http://ru.wikipedia.org/wiki/FTP
>
>проблема не только в ftp.
>Кроме того, если раньше невозможно было заставить пользователя зайти на фтп и
>набрать там определенные комманды, то сейчас это можно сделать совсем незаметно
>с помощью браузера

С помощью товарища браузера это можно делать очень давно, как минимум с того времени как в нем завелись java и flash. Только одно не понятно зачем при этом злоумышленику использовать ftp, если соединение от клиента уже поднято.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Michael Shigorin email(ok) on 29-Дек-09, 21:42 
>браузера [...] java и flash. Только одно не понятно зачем при этом злоумышленику
>использовать ftp, если соединение от клиента уже поднято.

:))))

Эх, было б ещё смешней, если б не так грустно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Evgeniy (??) on 30-Дек-09, 01:56 
>>браузера [...] java и flash. Только одно не понятно зачем при этом злоумышленику
>>использовать ftp, если соединение от клиента уже поднято.
>
>:))))
>
>Эх, было б ещё смешней, если б не так грустно.

  А это приколы мелких коробок.
Помнишь, мы как-то давно про это говорили.

Закрывать правилом active ftp ,  20-й порт.
там, где можно перестроить правила FW в нужном порядке - ибо часто
ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

стоит 1-м.

В *wrt - непросто, но можно - в консоли. или скриптом в веб-морде dd-wrt.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

60. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Evgeniy (??) on 30-Дек-09, 03:16 
Но, блин, в прошивке ж есть еще пачка всяких там

http://svn.dd-wrt.com:8000/dd-wrt/browser/src/linux/brcm/lin...

ip_conntrack_sip.h
ip_conntrack_h323.h

эти-то как обойти..

>>браузера [...] java и flash. Только одно не понятно зачем при этом злоумышленику
>>использовать ftp, если соединение от клиента уже поднято.
>
>:))))
>
>Эх, было б ещё смешней, если б не так грустно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от XoRe (ok) on 30-Дек-09, 00:19 

>С помощью товарища браузера это можно делать очень давно, как минимум с
>того времени как в нем завелись java и flash. Только одно
>не понятно зачем при этом злоумышленику использовать ftp, если соединение от
>клиента уже поднято.

Клиент говорит серверу "подключись ко мне на 445 порт".
Роутер клиента делает временный проброс порта на 445 порт клиента.
Думаем.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Michael Shigorin email(ok) on 30-Дек-09, 00:25 
>Думаем.

Я подумал в сторону http://secunia.com/advisories/search/?search=firefox сотоварищи, а Ъ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

67. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от XoRe (ok) on 30-Дек-09, 10:41 
>>Думаем.
>
>Я подумал в сторону http://secunia.com/advisories/search/?search=firefox сотоварищи, а Ъ?

С одной стороны да.
С другой... не вижу в сети массовых эпидемий, связанных с уязвимостью FF.
Если есть ссылки, поделитесь.
Самому интересно, почему при "вроде бы большем" количестве дырок, чем в IE, до сих пор нет новостей про взломы FF.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

73. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Michael Shigorin email(ok) on 30-Дек-09, 12:14 
>Если есть ссылки, поделитесь.

Что припоминалось -- точно не вспомню, но: http://google.com/search?q=firefox+vulnerability+botnet

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

64. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Ъ on 30-Дек-09, 07:50 
>
>>С помощью товарища браузера это можно делать очень давно, как минимум с
>>того времени как в нем завелись java и flash. Только одно
>>не понятно зачем при этом злоумышленику использовать ftp, если соединение от
>>клиента уже поднято.
>
>Клиент говорит серверу "подключись ко мне на 445 порт".
>Роутер клиента делает временный проброс порта на 445 порт клиента.
>Думаем.

Вариант без ftp. "Клиент" соединяется с любого возможного порта, по любому возможному протоколу и заливает "вирусню" используя уязвимости браузера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

68. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от XoRe (ok) on 30-Дек-09, 10:41 
>[оверквотинг удален]
>>>того времени как в нем завелись java и flash. Только одно
>>>не понятно зачем при этом злоумышленику использовать ftp, если соединение от
>>>клиента уже поднято.
>>
>>Клиент говорит серверу "подключись ко мне на 445 порт".
>>Роутер клиента делает временный проброс порта на 445 порт клиента.
>>Думаем.
>
>Вариант без ftp. "Клиент" соединяется с любого возможного порта, по любому возможному
>протоколу и заливает "вирусню" используя уязвимости браузера.

Это вариант без FTP.
А для варианта с FTP нужно использовать FTP)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

76. "Обход правил межсетевого экрана с использованием модулей тре..."  +/
Сообщение от Ъ on 30-Дек-09, 14:13 
>Это вариант без FTP.
>А для варианта с FTP нужно использовать FTP)

Если у вас завелся зверек, то уже c ftp он или нет не имеет значения. В любом случае дело не в iptables и не ftp.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от JL2001 (ok) on 28-Дек-09, 21:36 
интересно скайп этим тоже пользуется ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Ъ on 29-Дек-09, 19:47 
>интересно скайп этим тоже пользуется ?

Нет. Но он является отличным примером беспомощности межсетевого экранирования.  

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

86. "Обход правил iptables с использованием модулей трекинга FTP-..."  +/
Сообщение от Basiley (ok) on 19-Янв-10, 22:00 
нет, но в атаке на Чайна Гугль - было аналогично Скайпу.

p.s.
автор материала - категорчески прав.
что SPI глобально(недосаточно надежно/безопасно для продакшна как FW), что conntrack хелперы("костыли")-угроза.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру