From: Henrik Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk> Subject: Re: Securing sshd against unwanted login attempts Date: Tue, 2 Nov 2004 14:33:38 +0100 To: bsd-dk@bsd-dk.dk
Hejsa allesammen
Nu da denne tråd ER løbet helt af sporet vil jeg da lige advare en
lille smule
om at kaste sig over alle mulige kluntede forsøg på at forbedre
sikkerheden
ved "obscurity". Ja jeg mener portknocking er unødvendigt og forøger
kompleksiteten i løsninger.
eksempelvis følger af afhængigheder for at du kan logge ind på din
server
- du skal køre både sshd og "portknockingd"
Så kiggede jeg for sjov forbi http://www.portknocking.org/
og fandt i C/C++ afdelingen af programmer følgende:
http://www.e-normous.com/nerd/combo.c
(kommentarer i parentes)
struct tcppk {
struct iphdr ip;
struct tcphdr tcp;
char data[1500];
};
(eeeew er det smart med den slags magiske konstanter?)
...
strcpy(ifr.ifr_name,device);
(strcpy er ikke en funktion der anbefales)
...
if(!mode)ifr.ifr_flags ^= IFF_PROMISC;
else ifr.ifr_flags |= IFF_PROMISC;
if((ioctl(fd, SIOCSIFFLAGS, &ifr)) <0){
perror("SNIFF() Can't set/unset promiscuous mode [Died]");
close(fd);
exit();
}
(promiscious mode! denne daemon sætter kortet i promisc mode?)
....
uden at det skal udvikle sig til en stor tråd om
for eller imod portknocking vil jeg blot påpege nogle problemer
som jeg kan se i ovenstående
- der med vilje (og som forventet) er noget slam
netkortet skal være i promiscious mode - synes
vi det er rart med netkort i promisc mode altid på en
server?
der benyttes strcpy fremfor eksempelvis strncpy!
med hjælp fra #bsd-dk kiggede vi også på andre
ting og det er vist ikke liiiige et eksempel på sikker programmering
- måske nærmere modsat ;-)
Derfor
PAS PÅ HVIS I RODER MED den slags
De fleste ting jeg har set om portknocking er brugen
af hackere til at lave non-listening backdoors og derfor
vil jeg formode at mange programmer til den slags IKKE
er skrevet med sikkerhed in mente!
Der findes formentlig porrtknocking programmer der er godt
skrevet - men jeg tror det er undtagelsen fremfor reglen.
Mvh
Henrik
PS Jeg håber dette indlæg ses som en stille advarsel
uden at anspore mange nye indlæg - portknocking KAN
benyttes men giver det reelt noget?
-- Henrik Lund Kramshøj, cand.scient, CISSP e-mail: hlk@security6.net, tlf: 2026 6000 www.security6.net - IPv6, sikkerhed, netværk Follower of the Great Way of Unix
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET