Discussion:
Het zat eraan te komen..
(te oud om op te antwoorden)
Martijn van Buul
2009-03-24 09:10:54 UTC
Permalink
Zie je wel, dat Linux *niet* immuun is tegen botnetjes en aanverwante zaken:

http://dronebl.org/blog/8

Het verklaart misschien wel waarom ik de laatste tijd zoveel ssh brute force
attacks op mijn (OpenWRT...) router zag :-/
--
Martijn van Buul - ***@dohd.org
richard lucassen
2009-03-24 09:18:42 UTC
Permalink
On Tue, 24 Mar 2009 09:10:54 +0000 (UTC)
Post by Martijn van Buul
http://dronebl.org/blog/8
Het verklaart misschien wel waarom ik de laatste tijd zoveel ssh brute
force attacks op mijn (OpenWRT...) router zag :-/
Dat is geen nieuws Martijn. Lance Spitzner gebruikte jaren geleden al
RedHat-6.0 als honeypot. Aanvallen op portmap zijn ook al zo oud als de
weg naar Kralingen. De veiligheid van een machine hangt enkel en alleen
af van zijn beheerder en niet van het OS.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Martijn van Buul
2009-03-24 10:25:46 UTC
Permalink
Post by richard lucassen
Dat is geen nieuws Martijn. Lance Spitzner gebruikte jaren geleden al
RedHat-6.0 als honeypot. Aanvallen op portmap zijn ook al zo oud als de
weg naar Kralingen. De veiligheid van een machine hangt enkel en alleen
af van zijn beheerder en niet van het OS.
In dit geval ben ik dat dus niet met je eens. In dit geval legt het OS
zoveel beperkingen op dat de beheerder niet eens zo heel veel kan. Besef
wel dat het hier om een embedded linux gaat met vaak maar 4 MB flash en
16 MB RAM, waarvoor geen fatsoenlijke updates beschikbaar zijn (Laatste
supported firmware snapshot is uit 2007, individuele packages updaten kan
niet).

Het gevolg is een platform waarop je *niet* de maatregelen kunt nemen die je
graag zou *willen* nemen (ssh alleen met private key, automagisch blacklisten,
noem maar wat), en waar de beschikbare tools allemaal 'mini-' zijn. Dus nee,
geen OpenSSH, maar DropBearSSH. Dus geen coreutils, maar een selectie uit
busybox. Dus geen bind, maar dnsmasq. Dus geen moderne, up-to-date kernel,
maar Linux 2.4.34. En een systeem wat al bij voorbaat brak is, en doodleuk
'su' vervangt door een shellscript dat even 'ssh ***@localhost' doet.
--
Martijn van Buul - ***@dohd.org
richard lucassen
2009-03-24 10:59:00 UTC
Permalink
On Tue, 24 Mar 2009 10:25:46 +0000 (UTC)
Post by Martijn van Buul
Post by richard lucassen
Dat is geen nieuws Martijn. Lance Spitzner gebruikte jaren geleden
al RedHat-6.0 als honeypot. Aanvallen op portmap zijn ook al zo oud
als de weg naar Kralingen. De veiligheid van een machine hangt enkel
en alleen af van zijn beheerder en niet van het OS.
In dit geval ben ik dat dus niet met je eens. In dit geval legt het OS
zoveel beperkingen op dat de beheerder niet eens zo heel veel kan.
Besef wel dat het hier om een embedded linux gaat met vaak maar 4 MB
flash en 16 MB RAM, waarvoor geen fatsoenlijke updates beschikbaar
zijn (Laatste supported firmware snapshot is uit 2007, individuele
packages updaten kan niet).
Dat is dan niet echt slim on een niet updatend geval aan het net te
knopen. Als ik 2.6.29 vandaag installeer is-ie morgen vulnerable. Het is
niet de vraag /of/ software vulnerable is, maar /wanneer/ de software
dat wordt,
Post by Martijn van Buul
Het gevolg is een platform waarop je *niet* de maatregelen kunt nemen
die je graag zou *willen* nemen (ssh alleen met private key,
automagisch blacklisten, noem maar wat), en waar de beschikbare tools
allemaal 'mini-' zijn. Dus nee, geen OpenSSH, maar DropBearSSH. Dus
geen coreutils, maar een selectie uit busybox. Dus geen bind, maar
dnsmasq. Dus geen moderne, up-to-date kernel, maar Linux 2.4.34. En
een systeem wat al bij voorbaat brak is, en doodleuk 'su' vervangt
De packages en kernel die je noemt maken geen moer uit, want ook al
draait er bind, openssh, 2.6.29 of whatever op, als je het niet bijhoudt
dat ga je op een gegeven moment de bietenbrug op.

M.a.w.: De veiligheid van een machine hangt enkel en alleen af van zijn
beheerder en niet van het OS. En de maker van het ding verbiedt jou om
beheerder te zijn. De conclusie is dan simpel te trekken IMHO ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Martijn van Buul
2009-03-24 11:29:41 UTC
Permalink
Post by richard lucassen
Dat is dan niet echt slim on een niet updatend geval aan het net te
knopen. Als ik 2.6.29 vandaag installeer is-ie morgen vulnerable. Het is
niet de vraag /of/ software vulnerable is, maar /wanneer/ de software
dat wordt,
Eh, wat wou je dan dat ik met een bloody ROUTER doe?
--
Martijn van Buul - ***@dohd.org
richard lucassen
2009-03-24 12:00:26 UTC
Permalink
On Tue, 24 Mar 2009 11:29:41 +0000 (UTC)
Post by Martijn van Buul
Post by richard lucassen
Dat is dan niet echt slim on een niet updatend geval aan het net te
knopen. Als ik 2.6.29 vandaag installeer is-ie morgen vulnerable.
Het is niet de vraag /of/ software vulnerable is, maar /wanneer/ de
software dat wordt,
Eh, wat wou je dan dat ik met een bloody ROUTER doe?
Een router kopen waar in ieder geval geen services op draaien die van
buitenaf te benaderen zijn en waar firmware updates voor zijn lijkt me
zo.

En ik zeg wel "waar in ieder geval geen services op draaien die van
buitenaf te benaderen zijn", maar bedoelen ze met "any linux mipsel
routing device that has the router administration interface or sshd or
telnetd in a DMZ" ook alle routers die alleen vanaf LAN te benaderen
zijn?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Philip Paeps
2009-03-24 12:20:23 UTC
Permalink
Post by richard lucassen
On Tue, 24 Mar 2009 11:29:41 +0000 (UTC)
Post by Martijn van Buul
Post by richard lucassen
Dat is dan niet echt slim on een niet updatend geval aan het net te
knopen. Als ik 2.6.29 vandaag installeer is-ie morgen vulnerable.
Het is niet de vraag /of/ software vulnerable is, maar /wanneer/ de
software dat wordt,
Eh, wat wou je dan dat ik met een bloody ROUTER doe?
Een router kopen waar in ieder geval geen services op draaien die van
buitenaf te benaderen zijn en waar firmware updates voor zijn lijkt me
zo.
Een router die geen IP spreekt lijkt me niet erg zinvol.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

<Twigathy> i avoid trees.
<Beelsebob|Home> haha, they're bigger than you and beat you up?
<Twigathy> yes :*(
<Twigathy> Im a mere twig
richard lucassen
2009-03-24 12:29:01 UTC
Permalink
On 24 Mar 2009 12:20:23 GMT
Post by Philip Paeps
Post by richard lucassen
Een router kopen waar in ieder geval geen services op draaien die
van buitenaf te benaderen zijn en waar firmware updates voor zijn
lijkt me zo.
Een router die geen IP spreekt lijkt me niet erg zinvol.
Nou mis ik je Philip...
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Philip Paeps
2009-03-24 20:25:23 UTC
Permalink
Post by richard lucassen
On 24 Mar 2009 12:20:23 GMT
Post by Philip Paeps
Post by richard lucassen
Een router kopen waar in ieder geval geen services op draaien die
van buitenaf te benaderen zijn en waar firmware updates voor zijn
lijkt me zo.
Een router die geen IP spreekt lijkt me niet erg zinvol.
Nou mis ik je Philip...
Is IP dan geen "service"? En ICMP? Als je een router koopt, wil je toch wel
dat zijn IP stack van buitenaf te benaderen is? En als je er een ICMP echo
request naar stuurt, dat je een echo reply terugkrijgt en meer van dat soort
dingen.

Ik ben het wel (mostly) met je eens dat een router op de wan interface geen
management services moet aanbieden. Daar dient de LAN interface voor of
hoogstens een management vlan ofzo.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

<Melanie> But then, I also love rubbing lard onto squirrels.
* mafoo shoots Melanie
* Melanie peers at her boyfriend.
richard lucassen
2009-03-24 20:35:04 UTC
Permalink
On 24 Mar 2009 20:25:23 GMT
Post by Philip Paeps
Post by richard lucassen
Post by Philip Paeps
Een router die geen IP spreekt lijkt me niet erg zinvol.
Nou mis ik je Philip...
Is IP dan geen "service"? En ICMP? Als je een router koopt, wil je
toch wel dat zijn IP stack van buitenaf te benaderen is? En als je er
een ICMP echo request naar stuurt, dat je een echo reply terugkrijgt
en meer van dat soort dingen.
Ik ben het wel (mostly) met je eens dat een router op de wan interface
geen management services moet aanbieden. Daar dient de LAN interface
voor of hoogstens een management vlan ofzo.
Ok, helder. Inderdaad, zolang er een kernel draait met ip stack ben je
in principe kwetsbaar Daar heb je natuurlijk een punt.

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Philip Paeps
2009-03-24 21:05:33 UTC
Permalink
Post by richard lucassen
On 24 Mar 2009 20:25:23 GMT
Post by Philip Paeps
Post by richard lucassen
Post by Philip Paeps
Een router die geen IP spreekt lijkt me niet erg zinvol.
Nou mis ik je Philip...
Is IP dan geen "service"? En ICMP? Als je een router koopt, wil je
toch wel dat zijn IP stack van buitenaf te benaderen is? En als je er
een ICMP echo request naar stuurt, dat je een echo reply terugkrijgt
en meer van dat soort dingen.
Ik ben het wel (mostly) met je eens dat een router op de wan interface
geen management services moet aanbieden. Daar dient de LAN interface
voor of hoogstens een management vlan ofzo.
Ok, helder. Inderdaad, zolang er een kernel draait met ip stack ben je
in principe kwetsbaar Daar heb je natuurlijk een punt.
Inderdaad.

Zo heb je ook iedere morgen weer kans om aangereden te worden door een wilde
chauffeur die eens zin heeft om een fietspad neer te maaien. Of de lucht de
je inademt zou maar eens met één of ander giftig goedje gepollueerd moeten
zijn.

Kortom, als je écht helemaal veilig wil zijn, moet je gewoon dood zijn.

Zonder af en toe een risico te nemen kom je nergens. Zelf vind ik een IP
stack draaien een aanvaardbaar risico. Net zoals ik mijn huis nog uit durf.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

It is better for civilization to be going down the drain,
than to be coming up it.
richard lucassen
2009-03-24 21:22:44 UTC
Permalink
4On 24 Mar 2009 21:05:33 GMT
Post by Philip Paeps
Post by richard lucassen
Ok, helder. Inderdaad, zolang er een kernel draait met ip stack ben
je in principe kwetsbaar Daar heb je natuurlijk een punt.
Inderdaad.
Zo heb je ook iedere morgen weer kans om aangereden te worden door een
wilde chauffeur die eens zin heeft om een fietspad neer te maaien. Of
de lucht de je inademt zou maar eens met één of ander giftig goedje
gepollueerd moeten zijn.
Kortom, als je écht helemaal veilig wil zijn, moet je gewoon dood zijn.
Maar dan wel een crematie, vandalen kunnen je pardoes opgraven :)
Post by Philip Paeps
Zonder af en toe een risico te nemen kom je nergens. Zelf vind ik een
IP stack draaien een aanvaardbaar risico. Net zoals ik mijn huis nog
uit durf.
Oh, gelukkig, u stelt me gerust, ik had de router al uitgezet :)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Ruben van der Leij
2009-03-24 23:02:59 UTC
Permalink
Post by Philip Paeps
Is IP dan geen "service"? En ICMP?
Nee. IP is de verzamelnaam voor een aantal protocollen, en tcp, udp en icmp
zijn de meestgebruikte protocollen.

Het statement was correct en jou behoefte om je eigen onbenul tot norm te
verheffen niet.
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Philip Paeps
2009-03-25 10:09:59 UTC
Permalink
Post by Ruben van der Leij
Post by Philip Paeps
Is IP dan geen "service"? En ICMP?
Nee. IP is de verzamelnaam voor een aantal protocollen, en tcp, udp en icmp
zijn de meestgebruikte protocollen.
Inderdaad. En het is een "service" in de zin dat je die protocollen als
router ook spreekt. Als puur IP router, kijk je naar de headers van je
binnenkomende datagram en biedt je als service aan dat je in je FIB naar de
volgende hop gaat zoeken en het datagram doorstuurt. Je kunt ook NAT als een
service aanbieden in de IPv4 wereld. Verder zijn ook connection tracking en
port translation services die je kunt aanbieden.

Code is code. Een netwerk stack is evenzeer een software service als een
telnet daemon of eender welk ander stuk code dat je erboven zet. Ook in
netwerk stacks kunnen lekken en problemen zitten. Het is niet omdat een
service in kernel mode draait dat ze op een of andere manier "magisch" is of
imuun voor bugs.
Post by Ruben van der Leij
Het statement was correct en jou behoefte om je eigen onbenul tot norm te
verheffen niet.
Hum - onbenul ... Ik durf te stellen dat ik wel één en ander van IP weet.
Dat is schijnbaar een "hard requirement" als je netwerk stacks ontwikkelt
voor routers.

Ik denk dat we gewoon een verschillende mening hebben over wat nu wel dan niet
een "service" is. Of mijn mening bewijs van onbenul is, durf ik te
betwijfelen.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Ruben van der Leij
2009-03-25 20:06:40 UTC
Permalink
Post by Philip Paeps
Ik denk dat we gewoon een verschillende mening hebben over wat nu wel dan niet
een "service" is. Of mijn mening bewijs van onbenul is, durf ik te
betwijfelen.
Er is een algemeen geaccepteerde en wereldwijd gebruikte definitie. Een blik
in /etc/services en /etc/protocols volstaat. En er is een wereldwijd
geaccepteerde reden voor het verschil tussen die twee. Een device kan
uitstekend een layer-3 protocol hanteren zonder zich inhoudelijk met de
layer-4 (of hoger) inhoud bezig te hoeven houden. Niet iedere network node
is een network endpoint.

Iedere ('echte') router op deze planeet laat je dat zien door keurig mega-
of gigabits aan verkeer iedere seconde af te handen via interfaces waar 0
services op te vinden zijn. Net zoals miljarden hele domme switches enorme
hoeveelheden verkeer afwikkele zonder ueberhaupt enig besef te hebben van
wat voor verkeer ze afhandelen. Het is ethernet-II, dus gaan met die hap.
IPX/SPX, apple-talk, decnet, banyan vines of TCP/IP, maak geen donder uit.

Pure layer-3 devices doen niets met hogere protocollagen, anders dan in een
buffer zetten en weer uitlezen. Een puur layer-3 device is bij wijze van
definitie niet gevoelig voor exploits in hogere protocollagen. Hoe kan een
router die geen POP3-daemon aan boord heeft gevoelig zijn voor een
buffer-overflow in een POP3-protocol?

Wellicht is het tijd voor een autometafoor.

Nou kun jij in je eentje de hele wereld op z'n kop zetten en zeggen dat
wegsoorten en de auto's die er op rijden hetzelfde zijn, maar ieder normaal
mens zal je uitlachen. Precies wat ik deed. En precies wat je verdient.
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Martijn van Buul
2009-03-26 09:10:10 UTC
Permalink
Post by Ruben van der Leij
Pure layer-3 devices doen niets met hogere protocollagen, anders dan in een
buffer zetten en weer uitlezen. Een puur layer-3 device is bij wijze van
definitie niet gevoelig voor exploits in hogere protocollagen. Hoe kan een
router die geen POP3-daemon aan boord heeft gevoelig zijn voor een
buffer-overflow in een POP3-protocol?
Alleen heb je als consument verdacht weinig aan een layer 3 router. Er
zal toch echt moeten worden geNAT, en er zullen toch echt bestaande
NAT-onvriendelijke protocollen moeten worden gefixed.
--
Martijn van Buul - ***@dohd.org
Ruben van der Leij
2009-03-26 20:04:15 UTC
Permalink
Post by Martijn van Buul
Post by Ruben van der Leij
Pure layer-3 devices doen niets met hogere protocollagen, anders dan in een
buffer zetten en weer uitlezen. Een puur layer-3 device is bij wijze van
definitie niet gevoelig voor exploits in hogere protocollagen. Hoe kan een
router die geen POP3-daemon aan boord heeft gevoelig zijn voor een
buffer-overflow in een POP3-protocol?
Alleen heb je als consument verdacht weinig aan een layer 3 router. Er
zal toch echt moeten worden geNAT, en er zullen toch echt bestaande
NAT-onvriendelijke protocollen moeten worden gefixed.
Heb je helemaal gelijk in. Maar dan nog is de hoeveelheid exposure zeer
beperkt. Het overgrote deel van de issues met NAT komt neer op een Denial of
Service, en is niet verder te exploiten. Een NAT-module die meekijkt in een
ftp-sessie hoeft enkel de PORT-commando's te onderscheppen en kan de rest
van het verkeer in het command-channel negeren. Minder code is minder kans
op problemen.

En het grootste voordeel is natuurlijk dat een NAT-handler pas actief wordt
op het moment dat er achter de router iets gebeurt. Als ik niet aan het
ftp-en ben hoef jij niet te proberen of je iets met poort 20 kunt.
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Huub Reuver
2009-03-25 06:23:23 UTC
Permalink
Post by Philip Paeps
Post by richard lucassen
On 24 Mar 2009 12:20:23 GMT
Post by Philip Paeps
Post by richard lucassen
Een router kopen waar in ieder geval geen services op draaien die
van buitenaf te benaderen zijn en waar firmware updates voor zijn
lijkt me zo.
Een router die geen IP spreekt lijkt me niet erg zinvol.
Nou mis ik je Philip...
Is IP dan geen "service"? En ICMP? Als je een router koopt, wil je toch wel
dat zijn IP stack van buitenaf te benaderen is? En als je er een ICMP echo
request naar stuurt, dat je een echo reply terugkrijgt en meer van dat soort
dingen.
Ik ben het wel (mostly) met je eens dat een router op de wan interface geen
management services moet aanbieden. Daar dient de LAN interface voor of
hoogstens een management vlan ofzo.
Niet alleen dat.

Vanwege connection tracking en speciale functies voor speciale protocollen
is er zeker een risico. De laatste exploit is volgens mij echter een tijdje
geleden.

Deze kon ik zo vinden:
http://www.sfu.ca/~siegert/linux-security/msg00150.html

Maar er zijn ook problemen geweest met fragmented packages. In 2006 was
er nog een exploit voor IPv6 voor 2.6-kernels. En Martijn geeft wel af
op de 2.4.xx-kernel, tot ca. 2.6.20 heb ik gewoon nog negatieve
adviezen gezien om over te stappen op 2.6-kernels.

Voor een router zie ik geen reden voor een andere kernel dan een redelijk
recente 2.4.xx-kernel. De laatste zal niet altijd noodzakelijk zijn.

Met vriendelijke groet,
Huub Reuver
Philip Paeps
2009-03-25 10:14:36 UTC
Permalink
Post by Huub Reuver
Post by Philip Paeps
Is IP dan geen "service"? En ICMP? Als je een router koopt, wil je toch
wel dat zijn IP stack van buitenaf te benaderen is? En als je er een ICMP
echo request naar stuurt, dat je een echo reply terugkrijgt en meer van
dat soort dingen.
Ik ben het wel (mostly) met je eens dat een router op de wan interface
geen management services moet aanbieden. Daar dient de LAN interface voor
of hoogstens een management vlan ofzo.
Niet alleen dat.
Vanwege connection tracking en speciale functies voor speciale protocollen
is er zeker een risico. De laatste exploit is volgens mij echter een tijdje
geleden.
In de Linux kernel worden dingen wel vaker "onder de mat" opgelost zonder dat
er advisories rond geschreven worden. Er is een kernel security team, maar
die vechten vaak tegen de bierkaai.
Post by Huub Reuver
http://www.sfu.ca/~siegert/linux-security/msg00150.html
Maar er zijn ook problemen geweest met fragmented packages. In 2006 was er
nog een exploit voor IPv6 voor 2.6-kernels. En Martijn geeft wel af op de
2.4.xx-kernel, tot ca. 2.6.20 heb ik gewoon nog negatieve adviezen gezien om
over te stappen op 2.6-kernels.
Voor een router zie ik geen reden voor een andere kernel dan een redelijk
recente 2.4.xx-kernel. De laatste zal niet altijd noodzakelijk zijn.
Eh ... er zijn wel meer redenen om naar 2.6 te gaan. Hardware support, hier
en daar "architectuur" in plaats van willekeurig aan elkaar geknoopte
subsystems, community maintenance, enz. Ik kan me tegenwoordig meer redenen
inbeelden om voor een 2.6 kernel te gaan op een embedded device dan voor een
2.4 kernel. Afhankelijk van je constraints is 2.6 ook een stuk eenvoudiger te
embedded dan 2.4. De footprint van die laatste is misschien wel makkelijker
klein te krijgen, maar dat is niet de enige afweging die je moet maken.

-Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Martijn van Buul
2009-03-25 14:08:58 UTC
Permalink
Post by Huub Reuver
Maar er zijn ook problemen geweest met fragmented packages. In 2006 was
er nog een exploit voor IPv6 voor 2.6-kernels. En Martijn geeft wel af
op de 2.4.xx-kernel, tot ca. 2.6.20 heb ik gewoon nog negatieve
adviezen gezien om over te stappen op 2.6-kernels.
Ik geef niet zozeer af op de 2.4 kernel; ik geef af op de onmogelijkheid
om er iets anders op te zetten, zonder dat er dingen heel erg stuk gaan.
--
Martijn van Buul - ***@dohd.org
Mendel Mobach
2009-03-25 16:57:59 UTC
Permalink
De wet op behoud van ellende noopte
Post by richard lucassen
On 24 Mar 2009 12:20:23 GMT
Post by Philip Paeps
Post by richard lucassen
Een router kopen waar in ieder geval geen services op draaien die
van buitenaf te benaderen zijn en waar firmware updates voor zijn
lijkt me zo.
Een router die geen IP spreekt lijkt me niet erg zinvol.
Nou mis ik je Philip...
Meestal noemen ze dat een 'interface convertor'. Dat verplaatst het
probleem alleen maar naar het slecht geconfigte niet geupdate meterkast
servertje van martijn.
--
If you see an attachment here please install Mozilla Thunderbird or update OE
begin foutlook.exe - install Mozilla Thunderbird or update.exe
24C3 27~30 Dec 2007 Berlin - https://events.ccc.de/congress/2007/
ASSO-8756483212
Huub Reuver
2009-03-24 19:08:39 UTC
Permalink
Post by richard lucassen
On Tue, 24 Mar 2009 11:29:41 +0000 (UTC)
Post by Martijn van Buul
Post by richard lucassen
Dat is dan niet echt slim on een niet updatend geval aan het net te
knopen. Als ik 2.6.29 vandaag installeer is-ie morgen vulnerable.
Het is niet de vraag /of/ software vulnerable is, maar /wanneer/ de
software dat wordt,
Eh, wat wou je dan dat ik met een bloody ROUTER doe?
Een router kopen waar in ieder geval geen services op draaien die van
buitenaf te benaderen zijn en waar firmware updates voor zijn lijkt me
zo.
En ik zeg wel "waar in ieder geval geen services op draaien die van
buitenaf te benaderen zijn", maar bedoelen ze met "any linux mipsel
routing device that has the router administration interface or sshd or
telnetd in a DMZ" ook alle routers die alleen vanaf LAN te benaderen
zijn?
Het is wachten op de eerste worm die Firefox/IE gebruikt om de router
van binnenuit aan te vallen.

Met vriendelijke groet,
Huub Reuver
richard lucassen
2009-03-24 19:12:55 UTC
Permalink
On 24 Mar 2009 19:08:39 GMT
Post by Huub Reuver
Post by richard lucassen
En ik zeg wel "waar in ieder geval geen services op draaien die van
buitenaf te benaderen zijn", maar bedoelen ze met "any linux mipsel
routing device that has the router administration interface or sshd
or telnetd in a DMZ" ook alle routers die alleen vanaf LAN te
benaderen zijn?
Het is wachten op de eerste worm die Firefox/IE gebruikt om de router
van binnenuit aan te vallen.
Dat is met 1 rule met iptables te voorkomen.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Ruben van der Leij
2009-03-24 19:25:15 UTC
Permalink
Post by Huub Reuver
Het is wachten op de eerste worm die Firefox/IE gebruikt om de router
van binnenuit aan te vallen.
Te laat. http://crypto.stanford.edu/dns/dns-rebinding.pdf is ook te gebruiken om
routers met standaard-passworden aan te vallen.
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Joost de Heer
2009-03-24 17:12:20 UTC
Permalink
Post by Martijn van Buul
Eh, wat wou je dan dat ik met een bloody ROUTER doe?
Niet zo dom zijn om de management interface aan het internet te
koppelen. Want dat is wat gebeurd is bij de geinfecteerde routers.

Joost
Paul van der Vlis
2009-03-24 15:11:24 UTC
Permalink
Post by richard lucassen
On Tue, 24 Mar 2009 10:25:46 +0000 (UTC)
Post by Martijn van Buul
Post by richard lucassen
Dat is geen nieuws Martijn. Lance Spitzner gebruikte jaren geleden
al RedHat-6.0 als honeypot. Aanvallen op portmap zijn ook al zo oud
als de weg naar Kralingen. De veiligheid van een machine hangt enkel
en alleen af van zijn beheerder en niet van het OS.
In dit geval ben ik dat dus niet met je eens. In dit geval legt het OS
zoveel beperkingen op dat de beheerder niet eens zo heel veel kan.
Besef wel dat het hier om een embedded linux gaat met vaak maar 4 MB
flash en 16 MB RAM, waarvoor geen fatsoenlijke updates beschikbaar
zijn (Laatste supported firmware snapshot is uit 2007, individuele
packages updaten kan niet).
Dat is dan niet echt slim on een niet updatend geval aan het net te
knopen. Als ik 2.6.29 vandaag installeer is-ie morgen vulnerable. Het is
niet de vraag /of/ software vulnerable is, maar /wanneer/ de software
dat wordt,
Dat kan natuurlijk heel lang duren, of nooit gebeuren.

En volgens mij is een 2.4.20 kernel (om maar eens wat te noemen) nog
steeds veilig, mits er geen poorten open staan op de machine.

Als er poorten open staan kan het nog steeds veilig zijn, het ligt er
maar aan wat er achter zit. Alleen beoordelen of het dan veilig is, dat
is nog niet zo eenvoudig.

Maar misschien vergis ik me wel. Daarom zorg ik er maar voor dat de boel
up-to-date is, al vraag ik me best wel eens af of die kernel-update nu
weer nodig was.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
houghi
2009-03-24 16:28:17 UTC
Permalink
Post by Paul van der Vlis
Maar misschien vergis ik me wel. Daarom zorg ik er maar voor dat de boel
up-to-date is, al vraag ik me best wel eens af of die kernel-update nu
weer nodig was.
Vaak niet als je kijkt wat de vurlnerabilities zijn die opgelost worden.
Ik draai dan ook niet zozeer een nieuwe kernel, maar wel een geupdate
kernel.

Een nieuwe kernel zal nieuwe functionaliteiten met zich mee brengen.
Dingen die eerst niet werkten, werken nu wel.

houghi
--
Zin om te gaan zeilen? Er zijn nog een paar plaatsen vrij voor het
weekend van 24/26 April. Verterk haven is Zeebrugge. Mail me op
houghi <AT> houghi.org voor meer informatie en details. Kijk op
http://sailing.houghi.org naar foto's van voorgaande jaren.
Paul van der Vlis
2009-03-25 19:19:20 UTC
Permalink
Post by houghi
Post by Paul van der Vlis
Maar misschien vergis ik me wel. Daarom zorg ik er maar voor dat de boel
up-to-date is, al vraag ik me best wel eens af of die kernel-update nu
weer nodig was.
Vaak niet als je kijkt wat de vurlnerabilities zijn die opgelost worden.
Ik draai dan ook niet zozeer een nieuwe kernel, maar wel een geupdate
kernel.
Ik ook.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Mendel Mobach
2009-03-24 16:31:23 UTC
Permalink
De wet op behoud van ellende noopte
Post by Martijn van Buul
http://dronebl.org/blog/8
Het verklaart misschien wel waarom ik de laatste tijd zoveel ssh brute force
attacks op mijn (OpenWRT...) router zag :-/
DOH.... dom dat jij dat ziet. Dan mag de hele wereld zomaar op jouw
router inloggen. Ik ken nog een paar type routers waarmee het kan,
die hebben meestal alleen wel brakke firmware en domme gebruikers.
Nu heb jij alleen last van een domme gebruiker.
--
If you see an attachment here please install Mozilla Thunderbird or update OE
begin foutlook.exe - install Mozilla Thunderbird or update.exe
24C3 27~30 Dec 2007 Berlin - https://events.ccc.de/congress/2007/
ASSO-8756483212
Martijn van Buul
2009-03-24 17:16:30 UTC
Permalink
Post by Mendel Mobach
De wet op behoud van ellende noopte
Post by Martijn van Buul
http://dronebl.org/blog/8
Het verklaart misschien wel waarom ik de laatste tijd zoveel ssh brute force
attacks op mijn (OpenWRT...) router zag :-/
DOH.... dom dat jij dat ziet. Dan mag de hele wereld zomaar op jouw
router inloggen.
Inderdaad, ja. Dat wil zeggen, de hele wereld die mijn wachtwoord kan raden.
Post by Mendel Mobach
kIk ken nog een paar type routers waarmee het kan, die hebben meestal alleen
wel brakke firmware en domme gebruikers. Nu heb jij alleen last van een
domme gebruiker.
Wat, jij hebt geen stuk linuxdoos draaien waarop je kunt inloggen?
--
Martijn van Buul - ***@dohd.org
Mendel Mobach
2009-03-24 18:02:43 UTC
Permalink
De wet op behoud van ellende noopte
Post by Martijn van Buul
Post by Mendel Mobach
De wet op behoud van ellende noopte
Post by Martijn van Buul
http://dronebl.org/blog/8
Het verklaart misschien wel waarom ik de laatste tijd zoveel ssh brute force
attacks op mijn (OpenWRT...) router zag :-/
DOH.... dom dat jij dat ziet. Dan mag de hele wereld zomaar op jouw
router inloggen.
Inderdaad, ja. Dat wil zeggen, de hele wereld die mijn wachtwoord kan raden.
Post by Mendel Mobach
kIk ken nog een paar type routers waarmee het kan, die hebben meestal alleen
wel brakke firmware en domme gebruikers. Nu heb jij alleen last van een
domme gebruiker.
Wat, jij hebt geen stuk linuxdoos draaien waarop je kunt inloggen?
Jawel, maar niet met wachtwoorden vanaf buiten. Dat is namelijk onhandig.
--
If you see an attachment here please install Mozilla Thunderbird or update OE
begin foutlook.exe - install Mozilla Thunderbird or update.exe
24C3 27~30 Dec 2007 Berlin - https://events.ccc.de/congress/2007/
ASSO-8756483212
unknown
2009-03-25 18:44:37 UTC
Permalink
Post by Mendel Mobach
De wet op behoud van ellende noopte
Post by Martijn van Buul
Wat, jij hebt geen stuk linuxdoos draaien waarop je kunt inloggen?
Jawel, maar niet met wachtwoorden vanaf buiten. Dat is namelijk onhandig.
Dat lijkt me juist erg handig. Kun je vanaf je werk, of vakantie adres
kijken hoe je bittorrents gaan, of kijken of er niet ingebroken is via
je webcam.

Bart
--
Bart Blogt Beter: blog.friesoft.nl
Mendel Mobach
2009-03-25 20:16:41 UTC
Permalink
De wet op behoud van ellende noopte
Bart Friederichs <"bart apestaartje friesoft punt nl">
Post by unknown
Post by Mendel Mobach
De wet op behoud van ellende noopte
Post by Martijn van Buul
Wat, jij hebt geen stuk linuxdoos draaien waarop je kunt inloggen?
Jawel, maar niet met wachtwoorden vanaf buiten. Dat is namelijk onhandig.
Dat lijkt me juist erg handig. Kun je vanaf je werk, of vakantie adres
kijken hoe je bittorrents gaan, of kijken of er niet ingebroken is via
je webcam.
Daar heb ik geen wachtwoorden voor nodig.

MVGRMM(F) - en mijn torrents draaien niet op linux
--
If you see an attachment here please install Mozilla Thunderbird or update OE
begin foutlook.exe - install Mozilla Thunderbird or update.exe
24C3 27~30 Dec 2007 Berlin - https://events.ccc.de/congress/2007/
ASSO-8756483212
houghi
2009-03-25 21:13:39 UTC
Permalink
Post by Mendel Mobach
Post by unknown
Dat lijkt me juist erg handig. Kun je vanaf je werk, of vakantie adres
kijken hoe je bittorrents gaan, of kijken of er niet ingebroken is via
je webcam.
Daar heb ik geen wachtwoorden voor nodig.
En het lijkt me ook niet handig om via je camera naar je beeldscherm te
kijken hoe je torrents gaan.

houghi
--
Zin om te gaan zeilen? Er zijn nog een paar plaatsen vrij voor het
weekend van 24/26 April. Verterk haven is Zeebrugge. Mail me op
houghi <AT> houghi.org voor meer informatie en details. Kijk op
http://sailing.houghi.org naar foto's van voorgaande jaren.
unknown
2009-03-25 21:36:39 UTC
Permalink
Post by houghi
En het lijkt me ook niet handig om via je camera naar je beeldscherm te
kijken hoe je torrents gaan.
Wel veilig, want je kan niet op die torrent-computer komen. Moet je wel
een IP-cam gebruiken natuurlijk.

Bart
--
Bart Blogt Beter: blog.friesoft.nl
houghi
2009-03-25 21:59:27 UTC
Permalink
Post by unknown
Post by houghi
En het lijkt me ook niet handig om via je camera naar je beeldscherm te
kijken hoe je torrents gaan.
Wel veilig, want je kan niet op die torrent-computer komen. Moet je wel
een IP-cam gebruiken natuurlijk.
Ik zou het met een portable doen met een camera en dan een spiegel er
voor. Die spiegel fungeerd dan gelijk als een soort van ROT13
beveiliging.

houghi
--
Zin om te gaan zeilen? Er zijn nog een paar plaatsen vrij voor het
weekend van 24/26 April. Verterk haven is Zeebrugge. Mail me op
houghi <AT> houghi.org voor meer informatie en details. Kijk op
http://sailing.houghi.org naar foto's van voorgaande jaren.
Joost de Heer
2009-03-25 20:45:28 UTC
Permalink
Post by unknown
Post by Mendel Mobach
Jawel, maar niet met wachtwoorden vanaf buiten. Dat is namelijk onhandig.
Dat lijkt me juist erg handig. Kun je vanaf je werk, of vakantie adres
kijken hoe je bittorrents gaan, of kijken of er niet ingebroken is via
je webcam.
<hint>
PubkeyAuthentication yes
</hint>
Martijn van Buul
2009-03-26 09:06:18 UTC
Permalink
Post by Joost de Heer
Post by unknown
Post by Mendel Mobach
Jawel, maar niet met wachtwoorden vanaf buiten. Dat is namelijk onhandig.
Dat lijkt me juist erg handig. Kun je vanaf je werk, of vakantie adres
kijken hoe je bittorrents gaan, of kijken of er niet ingebroken is via
je webcam.
<hint>
PubkeyAuthentication yes
</hint>
Behalve dat dit om een of andere onduidelijke reden niet werkt op OpenWRT
(En ja, ik weet dat het in DropbearSSH net iets anders werkt) Het zou moeten
kunnen (TM), maar het wil niet. Root ssh disablen is ook geen mogelijkheid;
het ssh ***@doosje is namelijk de enige manier om aan een rootprompt te
komen..

Ik ben maar voor de eenvoudige oplossing gegaan: ssh poort naar een
willekeurige non-standard poort getrapt, en ben bezig met het optuigen van
een Echte Router.
--
Martijn van Buul - ***@dohd.org
Mendel Mobach
2009-03-27 07:34:09 UTC
Permalink
De wet op behoud van ellende noopte
Post by Martijn van Buul
Post by Joost de Heer
Post by unknown
Post by Mendel Mobach
Jawel, maar niet met wachtwoorden vanaf buiten. Dat is namelijk onhandig.
Dat lijkt me juist erg handig. Kun je vanaf je werk, of vakantie adres
kijken hoe je bittorrents gaan, of kijken of er niet ingebroken is via
je webcam.
<hint>
PubkeyAuthentication yes
</hint>
Behalve dat dit om een of andere onduidelijke reden niet werkt op OpenWRT
(En ja, ik weet dat het in DropbearSSH net iets anders werkt) Het zou moeten
kunnen (TM), maar het wil niet. Root ssh disablen is ook geen mogelijkheid;
komen..
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/openssh-server_5.0p1-1_i386.ipk
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/openssh-client_5.0p1-1_i386.ipk
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/coreutils_6.9-1_i386.ipk

(Ook voor andere architectures).

opkg update && opkg install openssh-server .. blabla..

Of je NAT ssh door naar een andere doos vanuit buiten en laat alleen vanaf
binnen ssh naar je router toe.
Post by Martijn van Buul
Ik ben maar voor de eenvoudige oplossing gegaan: ssh poort naar een
willekeurige non-standard poort getrapt, en ben bezig met het optuigen van
een Echte Router.
MVGRMM(F) - Ignorance is a bliss
--
If you see an attachment here please install Mozilla Thunderbird or update OE
begin foutlook.exe - install Mozilla Thunderbird or update.exe
24C3 27~30 Dec 2007 Berlin - https://events.ccc.de/congress/2007/
ASSO-8756483212
Martijn van Buul
2009-03-27 10:26:22 UTC
Permalink
Post by Mendel Mobach
Post by Martijn van Buul
Behalve dat dit om een of andere onduidelijke reden niet werkt op OpenWRT
(En ja, ik weet dat het in DropbearSSH net iets anders werkt) Het zou moeten
kunnen (TM), maar het wil niet. Root ssh disablen is ook geen mogelijkheid;
komen..
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/openssh-server_5.0p1-1_i386.ipk
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/openssh-client_5.0p1-1_i386.ipk
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/coreutils_6.9-1_i386.ipk
(Ook voor andere architectures).
Tsja, maar ik weet wat jij niet weet. Ik weet dat kamikaze 8.09 niet gaat
werken op mijn router, wegens gebrek aan hardare support.
Post by Mendel Mobach
Of je NAT ssh door naar een andere doos vanuit buiten en laat alleen vanaf
binnen ssh naar je router toe.
De reden voor dat NAT doosje was ooit nou juist dat ik die machines erachter
mooi uit kon laten staan, en vanuit dat NAT doosje WOL'en.
--
Martijn van Buul - ***@dohd.org
Mendel Mobach
2009-03-27 21:13:48 UTC
Permalink
De wet op behoud van ellende noopte
Post by Martijn van Buul
Post by Mendel Mobach
Post by Martijn van Buul
Behalve dat dit om een of andere onduidelijke reden niet werkt op OpenWRT
(En ja, ik weet dat het in DropbearSSH net iets anders werkt) Het zou moeten
kunnen (TM), maar het wil niet. Root ssh disablen is ook geen mogelijkheid;
komen..
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/openssh-server_5.0p1-1_i386.ipk
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/openssh-client_5.0p1-1_i386.ipk
http://downloads.openwrt.org/kamikaze/8.09/x86/packages/coreutils_6.9-1_i386.ipk
(Ook voor andere architectures).
Tsja, maar ik weet wat jij niet weet. Ik weet dat kamikaze 8.09 niet gaat
werken op mijn router, wegens gebrek aan hardare support.
7.09 dan....
Of heb je nog WR
Post by Martijn van Buul
Post by Mendel Mobach
Of je NAT ssh door naar een andere doos vanuit buiten en laat alleen vanaf
binnen ssh naar je router toe.
De reden voor dat NAT doosje was ooit nou juist dat ik die machines erachter
mooi uit kon laten staan, en vanuit dat NAT doosje WOL'en.
MVGRMM(F)
--
If you see an attachment here please install Mozilla Thunderbird or update OE
begin foutlook.exe - install Mozilla Thunderbird or update.exe
24C3 27~30 Dec 2007 Berlin - https://events.ccc.de/congress/2007/
ASSO-8756483212
Ruben van der Leij
2009-03-24 19:28:27 UTC
Permalink
Post by Martijn van Buul
Inderdaad, ja. Dat wil zeggen, de hele wereld die mijn wachtwoord kan raden.
Hoe moeilijk dat is bepaal je natuurlijk zelf.

En daarmee zijn we weer helemaal terug bij het begin. Het is Martijn van Buul die
bepaald hoe veilig het netwerk van Martijn van Buul is. Als jij een goedkope
router zonder recente updates combineert met zwakke wachtwoorden is linux
niet 'beter' dan een ongepatchde windows ofzo.
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Loading...