2008-06-29

FireWall, część pierwsza.

Dzisiejsza notka jest o iptables. Iptables to narzędzie ustawiające netfilter, czyli taki Firewall wbudowany w jądro Linuksa. Moim zdaniem jest to najlepszy Firewall, ponieważ jest lekki i skuteczny. Pamiętając o mniej obeznanych z zabezpieczeniami czytelnikach wytłumaczę na początek co to jest Firewall.

Firewall (czyli po polsku "Ściana ogniowa" lub "Ściana ognia") albo jak kto woli zapora sieciowa to jeden z podstawowych sposobów zabezpieczenia sieci przed niechcianymi osobnikami. Nie możemy oczywiście brać tego dosłownie i rozlewać naokoło naszej maszyny benzyny by później ją podpalić, po pierwsze, mogło by to uszkodzić maszynę, po drugie, mogło by to zniszczyć pobliskie przedmioty, a po trzecie, trzeba byłoby takie coś często odnawiać, a benzyna jest coraz droższa. Firewall to urządzenie (firewall sprzętowy) lub program (firewall programowy), który blokuje niechciany ruch. Jakiego ruchu możemy nie chcieć? Na przykład, możemy chcieć stworzyć sobie serwer FTP, ale tylko dostępny dla ludzi z sieci lokalnej (LAN), wtedy za pomocą 1 regułki dajemy dostęp do naszego serwera tylko dla danego zakresu IP, w którym mieści się nasza lokalna sieć. Gdy ktoś z zewnątrz będzie chciał się z nami połączyć, po prostu jego pakiet, nie dojdzie do usługi na naszym serwerze, przez co serwer nie odpowie.
Wiemy jak działa firewall, teraz zobaczymy jak stworzyć prosty FireWall. Dla przykładu, chcemy ograniczyć dostęp do usługi naszego serwera, tylko do naszego komputera. Jaka to może być usługa? Dla przykładu SSH, który standardowo słucha na porcie 22. Piszemy:
iptables -A INPUT -s ! 192.168.1.11 -p tcp -dport 22 -j DROP
W miejsce 192.168.1.11 wstawiamy swój adres IP, ten podany tutaj, to mój realny IP wewnętrzny. Teraz, załóżmy ktoś włamał się na komputer Kasi, która ma IP 192.168.1.10 i próbuje zalogować się na nasz serwer. Włamywacz nie będzie mógł się połączyć z naszym komputerem, ponieważ jądro Linuksa zobaczy że adres komputera próbującego połączyć się na port 22 nie jest równy adresowi 192.168.1.11, w rezultacie zgodnie z powyższą regułką, wszystkie pakiety od tego hosta zostaną upuszczone. Usługa nawet nie będzie "wiedziała" o próbie połączenia z danego adresu. Usługa nie wie również, że tylko z jednego IP można się z nią połączyć, co bardzo ułatwia nam konfigurowanie lub testowanie jakichś usług, które mogły by zostać wykorzystany w zły sposób. Jednym z takich złych sposobów jest wykorzystanie naszego jeszcze nie skonfigurowanego serwera poczty, do rozsyłania niechcianych wiadomości.

Jak widzisz, FireWall jest bardzo przydatny, a w następnej części dowiesz się, jak samemu stworzyć proste regułki FireWall'a, które pozwolą Ci zabezpieczyć swoją lokalną sieć. Zachęcam do komentowania.

2008-06-27

Hack.pl

Notka reklamówka, zamierzam reklamować miejsca przeze mnie odwiedzane, dlaczego by nie? Już widzę na elite room'ach, kanałach itd wyśmiewanie mnie, ale ja się tego nie wstydzę. Nie mam czego, ja trzymam poziom, a za czarną masę która się tam złazi nie biorę odpowiedzialności.

Na forum hack.pl pisuje codziennie, pewnie dlatego że nie mam gdzie indziej jawnie pochwalić się wiedzą i przy okazji pomóc komuś w potrzebie. Nie, nie mówię tutaj o ludziach (?) którzy chcą hakować maile kolegów, czy konta Tibii. Wśród tej masy jest parę "perełek", na które opłaca się odpowiedzieć. Znajdują się ciekawe problemy kryptograficzne, a Ci, którym zaszedłem za skórę nadużywając kryptografii, wiedzą że nad dobrą łamigłówką potrafię siedzieć godzinami, byle ją rozwiązać. Są też problemy programistyczne, takie jak implementacja niecodziennego algorytmu, czy problemy związane bezpośrednio z zabezpieczeniami, czyli jak skonfigurować firewall'a czy zabezpieczyć się przed spoofingiem lub sniffingiem. Można poznać tam naprawdę ciekawych ludzi, takich jak doświadczony administrator "tqm", który jest zawsze chętny do pomocy (chyba że go nie ma).
Jednak mimo paru plusów forum ma też wiele minusów, co zauważają poranni forumowicze. Plagą są tam SPAM boty, jednak moderatorzy je twardo wycinają. Moim zdaniem wystarczyła by mała zmiana w formularzu rejestracyjnym, ale zasłaniają się komercyjnym silnikiem forum (co za głupota!) i licencją. Tak, wiem że trzeba jej przestrzegać, ale czy nie można przenieść forum na jakiś otwarty silnik?
Ostatnio hack.pl wzbogacił się o nowy bajer, jest nim IRC, tylko po co aplet javowy? Czyżby hack.pl wiedział że ma niski poziom i nie chce go podwyższyć zmuszając użytkowników do poduczenia się nieco o komunikacji w sieci? Za tą notkę dostane niezłą burę od współużytkowników hack.pl, ale co mi tam.

Podsumowując, jeśli nie wiesz gdzie zacząć swoją karierę, możesz zacząć na hack.pl, najwyżej gdy już zdobędziesz nieco respektu, przeniesiesz się do jakieś grupy. hack.pl? Miejsce dla newbie i odrzuconych? Chyba tak...

2008-06-18

Będą zmiany... Przymuszone...

Nie wiem czy jeszcze ktoś mnie czytuje, ale dla tych wytrwałych i dla tych co nie pomyśleli że znowu coś porzuciłem, nabazgrze co u mnie. Z pewnością wielu moich znajomych zauważyło że ostatnio byłem niedostępny na komunikatorach, nie odpisywałem na maile i SMS'y do mnie nie dochodziły. Nic mi nie jest, po prostu byłem w szpitalu w związku z moimi ostatnimi problemami zdrowotnymi. Już jest wszystko dobrze wiec zamierzam wrócić do mojego życia w sieci. Może częściej będę pojawiał się na IRC'u (pozdrowienia dla #ul.sezamkowa), ponieważ staram się z moim operatorem komórkowym [REKLAMA]Heyah[/REKLAMA] naprawić dostęp do internetu z telefonu. A... I zamierzam wrócić do czynnego blogowania.