Domanda:
Server UNIX: possibili intrusioni o attacchi che non utilizzano nessuno dei socket di ascolto aperti
Bryan Field
2010-12-28 01:10:18 UTC
view on stackexchange narkive permalink

Che tipo di attacchi ci sono che non utilizzano porte TCP aperte o UDP aperte?

È lecito ritenere che nessuna porta aperta significhi nessun accesso remoto?

(Escluso la possibilità che ci sia già un badware sulla macchina che effettua connessioni in uscita per inviare / ricevere dati / istruzioni)

Modifica: sembra che dovremmo disabilitare anche ICMP per (aiutare) prevenire il tipo Denial Of Service attacchi e possibilità di buffer overflow o altri attacchi non scoperti. Anche la possibilità che il server riceva un ping contraffatto che quindi invia la risposta a una vittima di terze parti per Denial Of Service

Modifica: sembra che si dovrebbe anche guardare buono - ware "che effettua connessioni in uscita per inviare / ricevere dati / istruzioni" come il DNS. Il server DNS indica alla macchina UNIX su quali altre macchine connettersi e per cui inviare / ricevere dati. Bisogna assicurarsi che il server DNS non venga violato e che i router in arrivo non siano stati violati.

Modifica: in questa domanda mi riferisco specificamente agli attacchi di rete. Per quanto riguarda gli attacchi lato client (cookie, ingegneria sociale, XSS, ecc.) Non è per questa domanda.

Modifica: sto tentando di proteggere (si spera completamente) i server in modo che (teoricamente) non abbiano bisogno di un firewall. I firewall sono previsti ma non fanno parte di questa domanda.

Correlati: Quali rischi per la sicurezza comporta lo spoofing IP?

È inteso per coprire specificamente Unix? In tal caso, suggerirei di specificarlo nella domanda, poiché la maggior parte non noterà il tag ... Altrimenti, dovresti rimuoverlo.
Buona idea .. Fatto.
Le tue modifiche mi rendono più confuso. Che tipo di server stai utilizzando che non ha porte TCP o UDP aperte? Immagino tu possa intendere ad es. un server di database che in realtà avvia sempre connessioni persistenti con i server Web front-end che serve. Ma se la macchina risponde a richieste avviate da altrove, questa è una superficie di attacco significativa da considerare.
Sebbene ci siano effettivamente alcuni attacchi ICMP, si perdono anche alcune capacità di gestione disattivando il ping. Il DOS in generale è difficile da proteggere, quindi sarebbe utile sapere qual è il tuo modello di minaccia.
Ci saranno porte aperte disponibili per il web. Ma non fanno parte della domanda. La domanda ha lo scopo di affrontare gli altri tipi di attacchi. Grazie per i vostri commenti. Sono anche confuso dall'elenco delle risposte qui. Tuttavia, ho ricevuto alcune preziose informazioni.
Sette risposte:
AviD
2010-12-28 02:10:08 UTC
view on stackexchange narkive permalink

Indipendentemente dal fatto che questo debba applicarsi specificamente a Unix, direi che non è sicuro presumere che non vi sia accesso solo perché non ci sono porte aperte.

In altre parole, ICMP viene solitamente ascoltato, anche se non sono disponibili porte TCP o UDP.
E prima che tu dica: "Ma ICMP è solo un semplice Ping! È irrilevante attaccare usando quello! " dai un'occhiata a questi:

E sebbene questi siano tutti più o meno storici (ad eccezione dell'ultimo), non escluderei ulteriori attacchi futuri.

Inoltre, ci sono gli attacchi indiretti, come quelli che attaccano l'infrastruttura a cui il sistema chiuso stesso avrebbe accesso, ad es. Avvelenamento da DNS ...

OK, quindi per proteggere completamente un server si vorrebbe anche disabilitare ICMP ??? controlla anche qualsiasi tipo di sorgente di istruzioni che il server sta cercando intenzionalmente (come server DNS o router che si trovano sulla strada per il server DNS)
Nota che alcuni degli attacchi di cui sopra non erano solo DoS ... Inoltre, se il server ha connessioni in uscita, l'avvelenamento del server DNS che il server utilizza per risolvere gli indirizzi, potrebbe causare l'invio delle sue richieste a server fasulli e dannosi.
Bradley Kreider
2010-12-28 10:31:00 UTC
view on stackexchange narkive permalink

Che tipo di attacchi ci sono che non utilizzano porte TCP aperte o UDP aperte?

Questa è una domanda troppo generica. Rispondo molto letteralmente, non per essere un idiota, ma perché nella sicurezza è meglio non dare per scontato nulla. Di seguito sono riportate alcune classi di attacchi che non utilizzano porte TCP o UDP aperte:

  • Ingegneria sociale: fai in modo che qualcuno si connetta in uscita dalla macchina a un sito di attacco (o allega una pen drive o un supporto non valido )
  • Accesso fisico, keylogger, ecc
  • Un attacco a livello di IP (vulnerabilità dello stack IP)
  • NTP: di solito è attivato per impostazione predefinita e potrebbe non essere privo di bug
  • DHCP: dhcp è disattivato? un utente malintenzionato sulla rete locale potrebbe inviare un'immagine di avvio PXE alla scheda Ethernet e caricare il proprio sistema operativo.

È lecito ritenere che nessuna porta aperta significhi nessun accesso remoto?

  • I download drive-by che vengono eseguiti potrebbero richiamare (incluso il ping in uscita e l'acquisizione di dati ctrl tramite risposta ping)
  • I gestori di pacchetti potrebbero rimuovere il software trojan configurazione di malware per chiamate in uscita
  • Accesso Bluetooth

Penso che la tua vera domanda dovrebbe essere: "Quali tipi di exploit remoti possono essere usati per eseguire il root della mia macchina se ha nessuna porta TCP o UDP aperta? "

Gli attacchi possono avere un significato qualsiasi per le persone, incluso Van Eck Phreaking.

Sono consapevole del fatto che non devo dare per scontato nulla. Sto cercando di ottenere un controllo su un'area di attacco in questo momento. Specifico per un server. Non sto prendendo in considerazione ingegneria sociale, accesso fisico, download drive-by (* "good-ware" che effettua connessioni in uscita per inviare / ricevere dati / istruzioni "*). Inoltre non c'è Bluetooth. Inoltre non sono semplicemente preoccupato per root accesso. Ho modificato il titolo della mia domanda in modo che dica Server UNIX. Per favore cerca di sopportarmi. Un singolo paragrafo, separato da virgole e una dichiarazione senza presupposti dovrebbe essere sufficiente per assicurarmi di sapere che non sto coprendo tutto.
@GeorgeBailey: Sto sopportando con te. Devi capire che le persone non ti rispondono solo, ma anche le persone future che si imbattono nella tua domanda. Se non descrivi in ​​modo restrittivo la tua domanda, le persone troveranno attacchi validi che non avresti pensato di limitare dalle risposte. Quando ho detto "non dare per scontato", stavo parlando di me che rispondevo alla tua domanda.
fianchetto
2010-12-28 20:34:31 UTC
view on stackexchange narkive permalink

Il problema fondamentale di queste classi di attacchi non è all'interno dei protocolli TCP o UDP stessi, è con il requisito delle applicazioni di elaborare i dati da una fonte non attendibile (o meno attendibile) e progettazione e / o QA difettosi all'interno di dette applicazioni .

Se il tuo server esegue applicazioni che elaborano l'input da una fonte che non ha lo stesso livello di fiducia del tuo server e non disponi di un solido processo di QA per dette applicazioni, sono vulnerabili.

Ad esempio, sebbene diversi buffer overflow si siano presentati tramite comunicazioni di pre-autenticazione con applicazioni che sono in ascolto sulle porte TCP e UDP, possono essere altrettanto facilmente presentati in routine che leggono dati da una risorsa di rete che non implica una connessione in ascolto, o anche in funzioni che leggono da risorse locali come file e database, in molti di questi casi il programmatore non ha la mentalità ostile ai dati che fa con il programma socket amming. In base alla mia esperienza, è qui che si trova il frutto a bassa pendenza.

Secondo me, stai cercando un unicorno e l'unico modo per ottenere il risultato attualmente desiderato è partire il tuo server in una stanza pulita e chiusa a chiave senza alcuna connessione di rete. L'obiettivo principale di un server è la funzionalità, non la sicurezza, e devono essere fatti compromessi per quanto riguarda l'input non attendibile. Il modo per mitigare questo rischio, pur continuando a fornire funzionalità, è abilitare solo la funzionalità necessaria e compensare i servizi richiesti dai processi di controllo qualità / audit come revisione del codice e test di penetrazione, processi operativi come monitoraggio e risposta agli incidenti e infrastruttura per prevenire o rilevare input e connettività indesiderati.

Gilles 'SO- stop being evil'
2010-12-30 02:28:49 UTC
view on stackexchange narkive permalink

Anche se il tuo sistema operativo è completamente sicuro, il tuo hardware potrebbe essere vulnerabile. Molte schede di rete rispondono a vari protocolli di amministrazione remota ( Wake-on-LAN, Alert-on-LAN, ASF, ...).

In pratica, una vera vulnerabilità ha molti requisiti:

  • almeno una di queste funzionalità deve essere supportata;
  • la funzione deve essere abilitata almeno un certo livello (di solito è disattivato al momento della spedizione);
  • il sistema operativo non deve aver disabilitato la funzione all'avvio (questo è un caso in cui un computer è più vulnerabile quando è spento);
  • l'attaccante deve trovarsi sul lato destro di qualsiasi firewall che si rispetti (la maggior parte di queste funzionalità utilizza UDP);
  • e ovviamente il firmware deve essere vulnerabile (esempio: CVE, FAQ).
user185
2010-12-28 20:03:12 UTC
view on stackexchange narkive permalink

Se si consente il DNS, si consente l ' IP su DNS.

Rory Alsop
2010-12-28 02:27:07 UTC
view on stackexchange narkive permalink

Se puoi assicurarti che il tuo hardware di rete non abbia porte aperte per nessun protocollo, allora non sarà in grado di ricevere pacchetti - questo renderà molto improbabile che venga attaccato attraverso la rete, tuttavia se volessi chiudere tutte le porte, Consiglierei di scollegare il cavo di rete perché posso pensare a un potenziale problema:

  • potresti avere un rootkit che segnala le porte chiuse quando in realtà ce n'è una aperta
Le macchine in questione sono server nuovi e non avranno alcun badware (nemmeno un rootkit). Inoltre poiché sono server non sarò in grado di scollegare il cavo di rete.
D.W.
2011-01-19 12:49:21 UTC
view on stackexchange narkive permalink

Non è assolutamente sicuro. Ecco un semplice esempio: un utente della macchina naviga nel Web, visita siti Web imprecisi e fa clic su vari collegamenti. Ciò può facilmente causare la compromissione della sicurezza della macchina (ad esempio, tramite download drive-by o dal social engineering per indurre l'utente a installare malware). Questo è vero anche se il sistema operativo non ha porte aperte su cui è in ascolto.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...