tak asi můžeme začít dobré ráno nejmenuje zelená rád bych vám před pověděly tou bezpečností

služeb na internetu

a jak je možné se schovat

momentálně pracuji v red hatu jako a

zpráva není ta nej ten open ssh

a zajímám se právě o bezpečnost to všeobecných software různých softwarových projektů

první otázka je

funguje to kdo z nás provozuje server na veřejné jít adrese

a jak já tam běží služby víte

tak nějak je nějaký nějaké příklady máte

o

post office reálné to přetáhne to sou ti vytvářím u media watch

nedíváme se znáš po

jenže nic ten server je tady například jsem včera sledoval jsem serveru

_e má nějaké té téčko které nám řeknete při přímo číslo verze serveru koupíme sedátko

verze

postfix a povídá nám to na

ne na a

klíče které používá tento server používat ukazuje na to certifikáty které používáme

a patch má také verzi dva čtyři kde se

ostřit sadov poběží na spoustě port _e

všude jsou publikovány certifikát i na nějakém vysokém botu běžně jak je to projet

takže zase povídáme zkusíme kdy to zas u mě jak roztřídit na jak to je

jak budou vypadat čemu sou jak jsou bezpečné a jak je nutné chránit podíváme se

jak se nedá útočit

podívám se jaksi takže můžeme bránit a nakonec vám představím program back no který

neboj jedna z možností jak se bránit

právě jestli ty svůj jak skrýt služby na internetu

slevy na internetu slovy dveře nějaké komunikace z okolí

mohou být buď veřejné střely služby které nebo nevíš na to pouze vy ale využívána

jí naši zákazníci naši čtenáři webu

nebo jiném já jsem některé mám prostě jinej mail nebo vy poznáte maily celých o

na tyto sliby jako jeden na požadavek na velkou dostupnost a tyto slovy nelze jednoduše

schovat ale na druhou stranu pokud na druhé straně může být těžší je zneužít a

pokud jsou zneužity ne nevede to k nějakým extra velký problém potom jsou co pro

soukromé služby

které mají omezený počet uživatelů většinou tam je se značkou které zlobíte správě serveru nebo

přístupu ke složkám mailu třeba i na

popřípadě ftp s nebo vás ftp

pokud jsou tyto sliby zneužity do čím se dostane ke správě všeho se budou může

změnit cokoliv může

nahrát soubory stahovat vaše soubory čítače maily což většinou nechcete

pokud tedy zkusíme že jaksi se za mnou ty útoky máme taky náhodné seš lze

ukázat na tom na předchozím slajdu jak jsem dělal ten scan s našel jsem byl

to prostě ne všechny boty a zjistí vedle veřejně dostupné informace potom možné zjistit jaké

verze software jsou použité na tomto serveru

a pokud je známa jak a zranitelnost pro tuto verzi je možné provést příslušným to

může být s použití výchozí hesel slož většinou neexistuje softwaru ale některé a prvé krabičky

modemy router i mají výchozí neslaná root a což může být problém pokud je toto

heslo dostupné na veřejné takže sem a na veřejném internetu

tyto náhonem taky jsou útoky lze použít potom pro pozdější cílem právě ti na a

různé věci potom jsou cíle ne u taky kdy je oblíbený pro hrubou silou kde

se prostě zkouší všechna nesla z nějakého rozsahu popřípadě c vyzkouší hesla která sou známe

nějaké jiné služby je

která vnikla nebo byla zjištěna nějakým jiným způsobem

opět zranitelnosti jsou publikované nebo jsou neznámé takže národní agentury mohou mít znalostí o nějaké

nebezpečnosti jako za ten republiková ne ale nevím o nich takže pro tím velmi těžké

se brání

jak se tedy můžeme bránit

na jednu stranu potřebné pro ty služby zajistí dostupnost

pro autorizované uživatele a roste potřebné zní zabrání přístup útočníků

běžný běžnou obranu jen je většinou nějaké aktivní sledování logů a případě že na

v lesích se vyskytuje příliš mnoho

pokusu z nějaké daný adresy tak to můžeme blokovat

tímto způsobem

funguje filtru ven

poslední verzi podporuje možná kromě tebe šest pomocí nějakých rozsahu jednoduchých

to byl problém ještě asi před rokem kdy to nebylo řádně implementované a některé šest

rozsah je obrovský a blokovat jednotlivé adresy nebo rozsahy ani jedno nebylo takový dám

tady jaký skrýš acyl tu benz nějakého

minulého roku kde je tam

šlo třeba tři sta pokusil přihlášení celá ze základen

a čistej bylo za byl zablokován

popřípadě luboš který není pragmatický ale agreguje logy a což může být užitečné pro administrátora

aby nemusel číst tak všechna konta všech klubů tak

dobu za kde co gregory a zobrazí si to je nechat to jednou za týden

poslat

potom může být pak pasivní to šest lidí služby na toto je na druhý straně

white listy čili neblokujeme uživatele na základě jejich chování ale povolujme pouze uživatelům

pro který chceme tu službu zpřístupnit

to může být port tam to můžeme použít portmonky což znamená poslání na nějaké sekvence

a

paketu na různé boty což otevře a nějaké pravidlo to lze implementovat pomocí ip table

nebo speciální softwaru

popřípadě řeknou co dyž který dělá prakticky to stejné

ale já to a scap to graficky bezpečně řekněme

že

tato sekvence nelze s pokutou na tebe no tak teda

potravin tak sekvenci venuše odposlouchávat sedíte na drátě mezi jedním serverem a uživatelem pokud jak

no tak to by nemělo být možné

takže cz no _e na ten formát file

jak to bylo

file nakopejte teleoperátory servo

na zaklepání

prakticky

tomto obrázku zemi je tady u nás

a je

na nějakou rovnicí

server

a pokud řekne připojit na ten server tak o co je mně poslat ester a

pak je který otevře

na for se zná

pro tuto zdrojů ten dres

pro všechny ostatní zdrojovej praze jestli bude tento server na tento port vidět jako uzavřený

takže dinasovostech čísluje je to znamená odepření přístupu všem účastníku všem dokud ročníku

není to samozřejmá vedle silných hesel je to pouze jakoby další vrstva bezpečnosti která nenahrazuje

silná hesla ale

jakoby rozšiřuje

na bezpečnost podobně jako selinux

nancy operační systém

autorizace pro otevření portu

tyto pokud máme tuto službu tak to je další služba která běží na dalším bloku

a to proto že bychom měli nějak chránit

pokud tato služba bych a nějaké další sliby

ale dost tento port není ten poplatek budete takže není vidět nebo

svůj barák vy nebudete pakety čili neodpovídá odesílateli čili není zjišťuji styděl na to zhruba

pomocí žádného scan který by útočil mám provést je to c kennedy nedetekovatelné že tato

služba běží na našem server

operace probíhají tím pak je ten a ten pakety neopakujte neupad neopakovatelný to znamená to

co nějaká náhodná data a je tyto graficky a šifrovaný pomocí symetrické šifry

a integrita ještě na pomocí věčná

ne naopak o tento

k tomu to

paketu potřebujeme dva klíče nesymetrickým asymetricky který šifruje tato data aby útočník nemohl přečíst ze

kterého na

pro kterou zanesu otvíráme port jaký port otevíráme popřípadě co děláme na tom se

du většina pro integritu

to asi není důležité

máme tady nultej praktickou ukázku na závěr

s tím to rychle proletět

_e

první co je potřeba je potřeba vytvořit klíče

mám time otřesné znázornění

názorně no adresu server u

a červeně adresu klienta

na klientovi televizi na nějaký pomocí přepínače tý je týden to rezek no

to tvoří je to jedno pracoval soubor ve kterém jsou tyto kýče uložený a uloženo

na rekonfigurace

pruhu jako u klienta

podobný soubor musíme udělat také na serveru

takže na návraty klíčové vypadají tady máme

zdroj jestli to že to je ta cílový si cože kam jsem šel sem

podobných ty podobných soubojích si na to že také na serveru kde máme a

naopak

adresu kterou povolené čili adresu klienta tam může bejt nastavená kdy na nastavíte na dynamický

s paketů nebo

může být nějaký white list pro nějaký rozsah který povolená

opět sou to ty dva stejné týče

pro tu symetrickou šifru a toho většina

a tam jezdí změn ještě port který otvíráme čili dvacetdva se za

to jsou access conf který

jo tady

to je teda klient technická krát se rovná ta stejná

máme přepínač store který nám říká že můžeme na to otevřít jako

ten port pro jakoukoliv víte adresu zdroje

deamona spustíme pomocí systém kontrol nebo pomocí

je jen i cenově si

poté co vyzkoušíme s klienta poslat

_e no tak

_e

na server uvidíme bloků že tento paket byl přijat

string tam neuvidíme nízkej této poslat paket pouze a nedozvíme se jestli tu ještě se

uvidíme

to jsme dostali ste to vývar jestli paket který prošel nebo je vpořádku

ale tato služba je stále viditelná služba se zastavíte pokud tím _e

portského tak se opět dozvíme zná klíče

dozvíme se verzi bundu verzi a process a

a prakticisme zedníka nebo ste

takže jestli bosky tím skryjeme za firewall jedná se o takzvanou kdy filtru poli si

to znamená že existující spojení nejsou přerušena

ale nová spojení nejsou navázána

to sou tyto dvě pravidla ip tables nebo a file tý lze toto napsat ten

řádek

a pokud mým pustíme _e scan a scan tohoto serveru tak se dozvíme a tento

port je filtrování znamená že neodpovídá

jiný pokud se chceme připojit tak připojit na tento server tak tam ssh zahlásí

že neexistuje cesta k hostovi nebo připojení bylo odmítnuto nebo spojení je tady montoval

ale po zaslání

ester a paketu nebo ve k no

sedum se na ssh můžeme připojit

logo opět najdeme že

tento paket sme dostali a přidali ne pravidlo firewallů které povoluje

nové spojení s této být této konkrétní plán jestli

tak to umíme skrýt a se na server file stejný

způsobem ženskej jakoukoliv jinou sortu a firewall

a ať to _e se a ftp nebo no ne s nebo

pokud chcete schováváš ji mailovy server přes nima

není problém

porty lze omezovat na black list white list na serveru

které se povolují

v extrému ze spouště pomocí tohoto single

dneska paketu dokonce příkazy

pokud je to povolené konfiguraci

toto je implementována právě kvůli možnosti ovládat jakoby nějaký jiný file nemám ten file který

má na tom počítači mohl pokud máte nějakou

pocítíš kde máte více nějakých extern firewall tak

to můžete tak to ovládat

lze použít asymetrickou kdy to grafy jpg ale tam je omezení velikosti klíče na velikost

paketu na mi nějaký tisíc za ty čtyři bitů pouze pokud se použije větší také

ten zašifrovaný pakety větší nešel internetový rámec _e to může

nezkusila problémy existují grafické nástroje pro posílání paketů

_e kromě gui pro android iphone a nebo a na desktop

což může být užitečné pokud cestujete a potřebujete poslat

a kec telefonu není tak přihlašujete se na nějakém cizím počítači

a nebo

něco takového

tam je výhoda že tom telefonu decorating adresu jako máte počítat veřejnou a ten telefon

vám bude nebo odevře ten plot který máte proč je stane ten telefon

problémy můžou nastat tu chvíli kdy ňáká c bloku jak budete provoz což se může

stát na letišti ne u nějakých hotelích

tu chvíli je dobry ni právě to ten efekt například telefonu nemáte mobilní data kde

a to není blokované

to je ode mě všechno pravděpodobně takže jestli máte nějaké dotazy

prosím

buď můžete být ve všech si víc nebo míň nebo víc nic míň nejvíce stejný

rychle sem

server na server unnest více

více klíčů které jsou akceptované

tam je na tam je tady mám tu znám dost těch úloh nám tady vteřinka

tady na jo error tady dole je napsáno

_e větru

a jsme přidali pravidlo o

a tady nějaký navyklí třicet sekund nebo šedesát jako a

a poté zavřen pro všechny

což znamená ale to neznamená že by ta podprostor spojení byl přerušen

to je právě to defakto police ano

ano nějaké takové možnosti tam podle mě to u klienta a jen to nebo se

tu byli

a _e nevím to z hlavy

na aby tam mít na dveře té prostě pravidlo ip tables nafajluju

které lze přidat zmínit

je hodnota céčku no to by portovat ale na jakékoliv

minimalistické zařízení protože vím vývojáři tohoto z hotelu právě proto to cíl nějaký předchozí předchůdce

tohoto software byl nějakej a interval nějaké takové zrůdnosti ale to tam implementovat céčku

_e s minimálním na závislost na

aby to bylo spustitelné právě na těch tom malý zařízeních

a je to tak to fungovalo

takže mělo by to fungovat

ano

signál že

tady není to von si konfiguraci to určitě bude minimálně při gildu se vybírá jestli

chcete mít jaké ip pytel firewall ví

nebo uvést nebo něco takovýho

že tam je tam jsou možná přepínače konfiguraci

doma si ale tyhle a máme file volí

někdo

někdo chce vědět jak se to je prostě dvacet zas je to aplikaci aplikace prakticky

vyzval

a ano prakticky tam je vpodstatě formulář kde sou jednotlivý políčka které se o tom

konfiguračního souboru a pak je tam tlačítko poslat no

no tak jednoduché minimalistické toho teska

a se a

adresa která se má povolit pohodě

jo celé sme měli špatnou zem a může se tady je tady konfigurák na nervy

a tady je no a jaký je já

a je to by teoreticky bezpečně že se otvírá odezvu která je tom paketu a

ne pro takové odesílatel která může být nějak podložená a mohla by

otevřít přístup útočníkovi

ještě ve dvě minuty _e já další

někdo víc jako zajímá jaksi schovat server

ano ne nejde tímto nebo není to schovat lapače nebo něco takového

protože tam se spouští no ho procesu nebudu ten

to jsem zkoušel nepodařilo sem minimálně jakým vešel já jsem nebo funkcí

chtěl jsem to vyzkoušet ale jako nedostala bych to podporoval ale prakticky by to mělo

jít nějak pomocí proxi comment

já už

vlastní přesně tak

ale nepodařilo se mi chce

tak jo tak tím pádem děkuji za pozornost a pokud veškerá s je to napadne

takže ta někde můžete najít během těchto dvou