tak asi můžeme začít dobré ráno nejmenuje zelená rád bych vám před pověděly tou bezpečností
služeb na internetu
a jak je možné se schovat
momentálně pracuji v red hatu jako a
zpráva není ta nej ten open ssh
a zajímám se právě o bezpečnost to všeobecných software různých softwarových projektů
první otázka je
funguje to kdo z nás provozuje server na veřejné jít adrese
a jak já tam běží služby víte
tak nějak je nějaký nějaké příklady máte
o
post office reálné to přetáhne to sou ti vytvářím u media watch
nedíváme se znáš po
jenže nic ten server je tady například jsem včera sledoval jsem serveru
_e má nějaké té téčko které nám řeknete při přímo číslo verze serveru koupíme sedátko
verze
postfix a povídá nám to na
ne na a
klíče které používá tento server používat ukazuje na to certifikáty které používáme
a patch má také verzi dva čtyři kde se
ostřit sadov poběží na spoustě port _e
všude jsou publikovány certifikát i na nějakém vysokém botu běžně jak je to projet
takže zase povídáme zkusíme kdy to zas u mě jak roztřídit na jak to je
jak budou vypadat čemu sou jak jsou bezpečné a jak je nutné chránit podíváme se
jak se nedá útočit
podívám se jaksi takže můžeme bránit a nakonec vám představím program back no který
neboj jedna z možností jak se bránit
právě jestli ty svůj jak skrýt služby na internetu
slevy na internetu slovy dveře nějaké komunikace z okolí
mohou být buď veřejné střely služby které nebo nevíš na to pouze vy ale využívána
jí naši zákazníci naši čtenáři webu
nebo jiném já jsem některé mám prostě jinej mail nebo vy poznáte maily celých o
na tyto sliby jako jeden na požadavek na velkou dostupnost a tyto slovy nelze jednoduše
schovat ale na druhou stranu pokud na druhé straně může být těžší je zneužít a
pokud jsou zneužity ne nevede to k nějakým extra velký problém potom jsou co pro
soukromé služby
které mají omezený počet uživatelů většinou tam je se značkou které zlobíte správě serveru nebo
přístupu ke složkám mailu třeba i na
popřípadě ftp s nebo vás ftp
pokud jsou tyto sliby zneužity do čím se dostane ke správě všeho se budou může
změnit cokoliv může
nahrát soubory stahovat vaše soubory čítače maily což většinou nechcete
pokud tedy zkusíme že jaksi se za mnou ty útoky máme taky náhodné seš lze
ukázat na tom na předchozím slajdu jak jsem dělal ten scan s našel jsem byl
to prostě ne všechny boty a zjistí vedle veřejně dostupné informace potom možné zjistit jaké
verze software jsou použité na tomto serveru
a pokud je známa jak a zranitelnost pro tuto verzi je možné provést příslušným to
může být s použití výchozí hesel slož většinou neexistuje softwaru ale některé a prvé krabičky
modemy router i mají výchozí neslaná root a což může být problém pokud je toto
heslo dostupné na veřejné takže sem a na veřejném internetu
tyto náhonem taky jsou útoky lze použít potom pro pozdější cílem právě ti na a
různé věci potom jsou cíle ne u taky kdy je oblíbený pro hrubou silou kde
se prostě zkouší všechna nesla z nějakého rozsahu popřípadě c vyzkouší hesla která sou známe
nějaké jiné služby je
která vnikla nebo byla zjištěna nějakým jiným způsobem
opět zranitelnosti jsou publikované nebo jsou neznámé takže národní agentury mohou mít znalostí o nějaké
nebezpečnosti jako za ten republiková ne ale nevím o nich takže pro tím velmi těžké
se brání
jak se tedy můžeme bránit
na jednu stranu potřebné pro ty služby zajistí dostupnost
pro autorizované uživatele a roste potřebné zní zabrání přístup útočníků
běžný běžnou obranu jen je většinou nějaké aktivní sledování logů a případě že na
v lesích se vyskytuje příliš mnoho
pokusu z nějaké daný adresy tak to můžeme blokovat
tímto způsobem
funguje filtru ven
poslední verzi podporuje možná kromě tebe šest pomocí nějakých rozsahu jednoduchých
to byl problém ještě asi před rokem kdy to nebylo řádně implementované a některé šest
rozsah je obrovský a blokovat jednotlivé adresy nebo rozsahy ani jedno nebylo takový dám
tady jaký skrýš acyl tu benz nějakého
minulého roku kde je tam
šlo třeba tři sta pokusil přihlášení celá ze základen
a čistej bylo za byl zablokován
popřípadě luboš který není pragmatický ale agreguje logy a což může být užitečné pro administrátora
aby nemusel číst tak všechna konta všech klubů tak
dobu za kde co gregory a zobrazí si to je nechat to jednou za týden
poslat
potom může být pak pasivní to šest lidí služby na toto je na druhý straně
white listy čili neblokujeme uživatele na základě jejich chování ale povolujme pouze uživatelům
pro který chceme tu službu zpřístupnit
to může být port tam to můžeme použít portmonky což znamená poslání na nějaké sekvence
a
paketu na různé boty což otevře a nějaké pravidlo to lze implementovat pomocí ip table
nebo speciální softwaru
popřípadě řeknou co dyž který dělá prakticky to stejné
ale já to a scap to graficky bezpečně řekněme
že
tato sekvence nelze s pokutou na tebe no tak teda
potravin tak sekvenci venuše odposlouchávat sedíte na drátě mezi jedním serverem a uživatelem pokud jak
no tak to by nemělo být možné
takže cz no _e na ten formát file
jak to bylo
file nakopejte teleoperátory servo
na zaklepání
prakticky
tomto obrázku zemi je tady u nás
a je
na nějakou rovnicí
server
a pokud řekne připojit na ten server tak o co je mně poslat ester a
pak je který otevře
na for se zná
pro tuto zdrojů ten dres
pro všechny ostatní zdrojovej praze jestli bude tento server na tento port vidět jako uzavřený
takže dinasovostech čísluje je to znamená odepření přístupu všem účastníku všem dokud ročníku
není to samozřejmá vedle silných hesel je to pouze jakoby další vrstva bezpečnosti která nenahrazuje
silná hesla ale
jakoby rozšiřuje
na bezpečnost podobně jako selinux
nancy operační systém
autorizace pro otevření portu
tyto pokud máme tuto službu tak to je další služba která běží na dalším bloku
a to proto že bychom měli nějak chránit
pokud tato služba bych a nějaké další sliby
ale dost tento port není ten poplatek budete takže není vidět nebo
svůj barák vy nebudete pakety čili neodpovídá odesílateli čili není zjišťuji styděl na to zhruba
pomocí žádného scan který by útočil mám provést je to c kennedy nedetekovatelné že tato
služba běží na našem server
operace probíhají tím pak je ten a ten pakety neopakujte neupad neopakovatelný to znamená to
co nějaká náhodná data a je tyto graficky a šifrovaný pomocí symetrické šifry
a integrita ještě na pomocí věčná
ne naopak o tento
k tomu to
paketu potřebujeme dva klíče nesymetrickým asymetricky který šifruje tato data aby útočník nemohl přečíst ze
kterého na
pro kterou zanesu otvíráme port jaký port otevíráme popřípadě co děláme na tom se
du většina pro integritu
to asi není důležité
máme tady nultej praktickou ukázku na závěr
s tím to rychle proletět
_e
první co je potřeba je potřeba vytvořit klíče
mám time otřesné znázornění
názorně no adresu server u
a červeně adresu klienta
na klientovi televizi na nějaký pomocí přepínače tý je týden to rezek no
to tvoří je to jedno pracoval soubor ve kterém jsou tyto kýče uložený a uloženo
na rekonfigurace
pruhu jako u klienta
podobný soubor musíme udělat také na serveru
takže na návraty klíčové vypadají tady máme
zdroj jestli to že to je ta cílový si cože kam jsem šel sem
podobných ty podobných soubojích si na to že také na serveru kde máme a
naopak
adresu kterou povolené čili adresu klienta tam může bejt nastavená kdy na nastavíte na dynamický
s paketů nebo
může být nějaký white list pro nějaký rozsah který povolená
opět sou to ty dva stejné týče
pro tu symetrickou šifru a toho většina
a tam jezdí změn ještě port který otvíráme čili dvacetdva se za
to jsou access conf který
jo tady
to je teda klient technická krát se rovná ta stejná
máme přepínač store který nám říká že můžeme na to otevřít jako
ten port pro jakoukoliv víte adresu zdroje
deamona spustíme pomocí systém kontrol nebo pomocí
je jen i cenově si
poté co vyzkoušíme s klienta poslat
_e no tak
_e
na server uvidíme bloků že tento paket byl přijat
string tam neuvidíme nízkej této poslat paket pouze a nedozvíme se jestli tu ještě se
uvidíme
to jsme dostali ste to vývar jestli paket který prošel nebo je vpořádku
ale tato služba je stále viditelná služba se zastavíte pokud tím _e
portského tak se opět dozvíme zná klíče
dozvíme se verzi bundu verzi a process a
a prakticisme zedníka nebo ste
takže jestli bosky tím skryjeme za firewall jedná se o takzvanou kdy filtru poli si
to znamená že existující spojení nejsou přerušena
ale nová spojení nejsou navázána
to sou tyto dvě pravidla ip tables nebo a file tý lze toto napsat ten
řádek
a pokud mým pustíme _e scan a scan tohoto serveru tak se dozvíme a tento
port je filtrování znamená že neodpovídá
jiný pokud se chceme připojit tak připojit na tento server tak tam ssh zahlásí
že neexistuje cesta k hostovi nebo připojení bylo odmítnuto nebo spojení je tady montoval
ale po zaslání
ester a paketu nebo ve k no
sedum se na ssh můžeme připojit
logo opět najdeme že
tento paket sme dostali a přidali ne pravidlo firewallů které povoluje
nové spojení s této být této konkrétní plán jestli
tak to umíme skrýt a se na server file stejný
způsobem ženskej jakoukoliv jinou sortu a firewall
a ať to _e se a ftp nebo no ne s nebo
pokud chcete schováváš ji mailovy server přes nima
není problém
porty lze omezovat na black list white list na serveru
které se povolují
v extrému ze spouště pomocí tohoto single
dneska paketu dokonce příkazy
pokud je to povolené konfiguraci
toto je implementována právě kvůli možnosti ovládat jakoby nějaký jiný file nemám ten file který
má na tom počítači mohl pokud máte nějakou
pocítíš kde máte více nějakých extern firewall tak
to můžete tak to ovládat
lze použít asymetrickou kdy to grafy jpg ale tam je omezení velikosti klíče na velikost
paketu na mi nějaký tisíc za ty čtyři bitů pouze pokud se použije větší také
ten zašifrovaný pakety větší nešel internetový rámec _e to může
nezkusila problémy existují grafické nástroje pro posílání paketů
_e kromě gui pro android iphone a nebo a na desktop
což může být užitečné pokud cestujete a potřebujete poslat
a kec telefonu není tak přihlašujete se na nějakém cizím počítači
a nebo
něco takového
tam je výhoda že tom telefonu decorating adresu jako máte počítat veřejnou a ten telefon
vám bude nebo odevře ten plot který máte proč je stane ten telefon
problémy můžou nastat tu chvíli kdy ňáká c bloku jak budete provoz což se může
stát na letišti ne u nějakých hotelích
tu chvíli je dobry ni právě to ten efekt například telefonu nemáte mobilní data kde
a to není blokované
to je ode mě všechno pravděpodobně takže jestli máte nějaké dotazy
prosím
buď můžete být ve všech si víc nebo míň nebo víc nic míň nejvíce stejný
rychle sem
server na server unnest více
více klíčů které jsou akceptované
tam je na tam je tady mám tu znám dost těch úloh nám tady vteřinka
tady na jo error tady dole je napsáno
_e větru
a jsme přidali pravidlo o
a tady nějaký navyklí třicet sekund nebo šedesát jako a
a poté zavřen pro všechny
což znamená ale to neznamená že by ta podprostor spojení byl přerušen
to je právě to defakto police ano
ano nějaké takové možnosti tam podle mě to u klienta a jen to nebo se
tu byli
a _e nevím to z hlavy
na aby tam mít na dveře té prostě pravidlo ip tables nafajluju
které lze přidat zmínit
je hodnota céčku no to by portovat ale na jakékoliv
minimalistické zařízení protože vím vývojáři tohoto z hotelu právě proto to cíl nějaký předchozí předchůdce
tohoto software byl nějakej a interval nějaké takové zrůdnosti ale to tam implementovat céčku
_e s minimálním na závislost na
aby to bylo spustitelné právě na těch tom malý zařízeních
a je to tak to fungovalo
takže mělo by to fungovat
ano
signál že
tady není to von si konfiguraci to určitě bude minimálně při gildu se vybírá jestli
chcete mít jaké ip pytel firewall ví
nebo uvést nebo něco takovýho
že tam je tam jsou možná přepínače konfiguraci
doma si ale tyhle a máme file volí
někdo
někdo chce vědět jak se to je prostě dvacet zas je to aplikaci aplikace prakticky
vyzval
a ano prakticky tam je vpodstatě formulář kde sou jednotlivý políčka které se o tom
konfiguračního souboru a pak je tam tlačítko poslat no
no tak jednoduché minimalistické toho teska
a se a
adresa která se má povolit pohodě
jo celé sme měli špatnou zem a může se tady je tady konfigurák na nervy
a tady je no a jaký je já
a je to by teoreticky bezpečně že se otvírá odezvu která je tom paketu a
ne pro takové odesílatel která může být nějak podložená a mohla by
otevřít přístup útočníkovi
ještě ve dvě minuty _e já další
někdo víc jako zajímá jaksi schovat server
ano ne nejde tímto nebo není to schovat lapače nebo něco takového
protože tam se spouští no ho procesu nebudu ten
to jsem zkoušel nepodařilo sem minimálně jakým vešel já jsem nebo funkcí
chtěl jsem to vyzkoušet ale jako nedostala bych to podporoval ale prakticky by to mělo
jít nějak pomocí proxi comment
já už
vlastní přesně tak
ale nepodařilo se mi chce
tak jo tak tím pádem děkuji za pozornost a pokud veškerá s je to napadne
takže ta někde můžete najít během těchto dvou