stvrte cislo prielomu prinasa novinku. na konci kazdeho clanku mozes kliknut
na diskusny board, kde mozes napisat otazku, poznamku ci pripomienku k danemu
clanku. autori clankov budu tieto boardy sledovat a odpovedat na pripadne podnety,
tym vznikne nova komunikacna dimenzia tohoto e-zinu a samotny
clanok v prielome bude sluzit ako podklad k dalsim diskusiam na danu temu.

predchadzajuce tri cisla prielomu nemali takuto vymozenost vyventilovat sa na
diskusnom boarde, preto pokial mas nutkanie vyjadrit sa k hocijakemu tematu
z predoslych prielomov, mozes tak ucinit na tomto vydani :)

pokial xcete dostavat e-mailom oznam ked vyde nove cislo prielomu, poslite mejl s textom
"subscribe prielom" na adresu prielom(at)hysteria.sk.

Je nepopiratelne, ze internet v poslednich par letech zaznamenava obrovsky
boom. Ty tam jsou doby, kdy byl zalezitosti ciste akademickou. Dnes ma
server v internetu i kdejaky malir pokoju - a na tom, to stoji a pada.
Vzhledem ke skutecnosti, ze soubor protokolu tcp/ip je stary radove desitky
let, je sama o sobe jeho bezpecnost prakticky nulova a defaultne nainstalovany
linuxovsky server, ktery malirovi prisel rozbehnout jeho kamarad, co
mu vede ucetnictvi v excelu cele veci moc neprida. Vysledkem tedy je stroj,
ktery se vystavuje svetu a vola 'hackni me'. Malir, ani jeho kamarad v
dusledku svych neznalosti, si totiz prakticky vubec neuvedomuji co to vlastne
obnasi 'byt pripojen', zkratka nainstaluje, zapne do 220V a jedem. Otazka
bezpecnosti jde mimo ne. Preci kdo by se zajimal zrovna o muj stroj, kdyz
jsou tu tisice jinych kolem. Skutecnost, ze pri nejblizsim scanu domeny bude
v prvni desitce na cerne listine mu samozrejme nedochazi. Ted samozrejme
mluvim naprosto obecne, bez konkretizace na nejaky OS, i kdyz si treba malir
pozdeji nainstaluje winNT misto linuxu, protoze M$ a jeho agresivni marketing
a reklama verejnosti stale vnucuje myslenku, ze NT je to nejbezpecnejsi co
muze byt a malire okamzite presvedci jeden hezky udelany letak na kridovem
papire, ktery mel dnes ve schrance.

Takto nejspis vypada situace u vetsiny firem. Nu co, nakonec jsou to jejich
informace a jejich stroje a pokud neciti potrebu se o ne v dostatecne mire
starat - resp. administrator, ktery cely den hraje Quake2 jim nejspis vyhovuje,
je to jejich vec. O co vice je vsak situace zalostnejsi, vezmeme-li
v uvahu providery, tedy poskytovatele internetu. Ti uz nejsou odpovedni
pouze za svoje udaje, ale predevsim za udaje svych zakazniku, kteri jim
pravidelne plati mnohdy nemale castky a presto je situace na poli provideru
vetsinou stejna, ne-li jeste horsi. Abych nemluvil stale tak obecne, za
vsechny bych zminil alespon cesnet a lanprojekt, kteri si nejspis uz zvykli
na to, ze svoje servery budou navzdy sdilet s backdoory cZertu.
Situace tedy neni nikterak ruzova a nezbyva nez doufat, ze vedouci pracovniky
v personalnim oddeleni osviti duch svaty a obeznami je s kriterii, ktera
jsou adekvatni pro administratory unixovy a jinych serveru a na patricnych
mistech nebudou sedet jako dosud, pouze ruzni readeri how-to dokumentu, ale
lide, kteri si vyznam sve prace uvedomuji a vedi co obnasi. Potom se mozna
zacne blyskat na lepsi casy.

erixon, erixon(at)hysteria.sk

Pred zhruba dvoma rokmi nastal v cechach a na slovensku boom firewallov.
Ftedy k nam dorazila (asi s dvojrocnym oneskorenim) sialena modna vlna
Internetu z Ameriky. (poznamka bokom - to dvojrocne oneskorenie trendov
na ceskom a slovenskom internete oproti USA je vlastne take male pravidlo,
ktore som si viackrat overil v praxi. Tuto teoriu som nazval PPPP (tm) :
Pajkovo Pravidlo Postupneho Prielomu. Funguje to tak ze sa staci pozriet na
to co sa deje momentalne v USA na Inete a pripocitat dva roky - a mozete
fascinovat ludi na vecierkoch presnymi predpovedami diania na slovenskom
a ceskom internete. fakt to funguje :)

Nie ze by si vramci toho inetovskeho
boomu ludia uvedomovali potrebu bezpecnosti pocitacovych sieti. To vobec
nie. Za rozsirenie firewallov v nasich podnikoch mozeme dakovat skupinam
ludi ktori este doftedy montovali PCka, predavali kancelarsky software a
tonery do tlaciarni, a ktori zacali (pod nalepkou "data security firma" alebo
nieco podobne, zvycajne trapne anglicky znejuce :) predavat aj firewally a strasit manazerov
vidinou nejakych imaginarnych skupin sfanatizovanych "hackerov", ktori 24
hodin denne pod vlpyvom heroinu utocia na uctovnicku databazu vaseho podniku.
Takychto firmiciek je ako hub po dazdi a nedivme sa, firewall totiz stoji v priemere
okolo sto tisic korun. Nikto ale vlastne nevie kolko by presne taky firewall
*mal* stat, takze nie je problem nadhodit si na cenu slusnu proviziu.
Naviac sa na Slovensku a v Cechach vacsina firewallovych produktov predava
prostrednictvom exkluzivnych dealerov, ktori maju v moci urcit cenu pre cele slovensko a obcas strielaju od pasa astronomicke sumy.
Bezpecnost je mozno jedna z mala oblasti Internetu kde su momentalne slusne
prachy. Mozno je lepsie pri kupe firewallu pobrowsovat si po Webe a najst si v USA alebo
v Zapadnej Europe firmu ktora takyto software ponuka, ale ktora nema exkluzivne
zastupenie na Slovensku a kupit software priamo od vyrobcu.

Nesnazim sa kritizovat fakt ze pouzivanie firewallov je natolko rozsirene.
Kritizujem fakt ze firewally su take drahe, aj ked sa nejedna o zlozite
programy. Tiez si myslim ze firewally su pouzivane tam, kde to nie je opodstatnene
(napriklad akademicka sfera) a castokrat firewally zbytocne limituju
legitimnych uzivatelov. Problem je tiez, ze z terminu "firewall" sa vyvinulo
magicke slovo, za ktorym si ludia predstavuju genialny nastroj na *dokonale*
zabezpecenie siete. Admin nainstaluje firewall a mysli si ze to ma v suchu.
Tento clanok sa pokusi vyvratit tieto tvrdenia a tiez naznacit moznosti ako
moze legitimny uzivatel ofajcit limitacie firewallov.

V sucastnosti uz azda kazda firma s pevnou linkou na
inet ma aj nejaky ten software na filtrovanie alebo blokovanie trafficu.
Konfiguracie firewallov sa daju zhruba rozdelit do tychto styroch kategorii :

1. Zakazanie "nebezpecnych" portov.

Blbost, vyslovena blbost. Z historickych dovodov sa kategorizuju niektore
porty ako "nebezpecne". jedna sa napriklad o rexec, rlogin alebo rsh. v
dnesnej dobe vsak nie je problem modifikovat tieto sluzby tak, aby sa odstranili
tie vlastnosti, ktore niekto moze pokladat za bezpecnostny nedostatok.
konkretne ide napriklad o pouzivanie trust vztahov (.rhosts a podobne). Na priklad
na Linuxe ktory pouziva PAM Security sa daju tieto sluzby upravit v pam.conf tak,
aby vzdy vyzadovali autentifikaciu cez heslo.

Firewall v takomto pripade neplni ziadne uzitocne funkcie. pokial su zablokovane
niektore vybrane sluzby, akurat to obmedzuje uzivatelov. Potencialny utocnik
si takyto firewall sotva vsimne. Uvediem jeden priklad : robil sa testovaci
utok na jeden stroj v edit.cz domene. Po dosiahnuti root prav sa nadviazala komunikacia
so strojom cez 80 port pomocou backdooroveho cgi scriptu ktory interpretoval
prikazy zadavane cez web browser(backdoory z cgi scriptov mam rad, niet nad
to pochlipkavat espresso v inet kaviarni a zadavat
priamo prikazy na unix server cez Netscape). cely cas sa
absolutne nedalo netusit ze na danej sieti sa
nachadza firewall. zistilo sa to az pri pokuse telnetnut sa na port
5002 (inetd backdoor), ktory bol zakazany.

pokial ste zamestnanec takehoto podniku, mozete vychutnat jedinu pozitivnu
stranku tekejto konfiguracie - mozete veselo a neobmedzene surfovat po inete,
spravit si trebars na svojom desktope FTP server, a pod..

2. Zakazanie vsetkych portov okrem vybranych portov

Vacsina konfiguracii podnikovych firewallov spada do tejto kategorie.
Administrator vacsinou zablokuje vsetky porty okrem par vybranych sluzieb,
trebars 25 (smtp posta), 110 (pop posta) a 80 (http web). server ktory
poskytuje spomenute sluzby umiestni za firewall a umozni na neho obojsmerny
traffic. Pokial ste utocnik vonku za firewallom, alebo obmedzeny uzivatel
vo vnutornej sieti, staci ak pouzijete na komunikaciu jeden z otvorenych
kanalov. napriklad pokial chcete nabehnut telnet server na stroji za firewallom,
staci ak zmenite defaultny telnet port z 23 na 80. Alebo pokial chcete, staci
na server vo vnutri siete nahodit takyto cgi script:

#!/bin/sh

/bin/echo -n "Content-type: text/htmnn"

/bin/echo "<pre>n"

$*

http://www.server.sk/cgi-bin/script.cgi?ls+-la+/tmp

To vam spusti a vypise prikaz "ls -la /tmp".

Pokial chcete pouzit zakazanu sluzbu z vnutornej siete, musite ju presmerovat
cez otvoreny port, napriklad cez spominany port 80. Toto docielite pomocou tzv.
redirektorov. ak pouzijete trebars program redir-0.7, ktoreho linux a sun
verzie su na arxive (http://hysteria.sk/arxiv/), treba ho nabehnut niekde vonku
za firewallom tak, aby pocuval na povolenom porte 80 a spojenie presmeroval
na vami pozadovany stroj a port.

Tu je konkretny priklad: vas firewall napriklad povoluje obojsmerny traffic na porte 80, ale
zakazuje spojenie na irc servery, port 6667. Nehorazna nuda v praci a silna
zavislost na IRC vas prinuti uvazovat nad sposobom, ktory by vam umoznil si z prace
spustit irc klient a zabit cas bezduchym tliachanim na nejakom kanali. Staci
ak vonku za firewallom na masine server.vonku.sk nabehnete redir s tymito parametrami :

./redir 80 irc.felk.cvut.cz 6667 &

Potom vam staci nastavit si na vasom klientovi irc server na server.vonku.sk:80.
Vase spojenie pojde cez povoleny port 80 a dostane sa na vonkajsi redirektor, ktory
vsetky data bude posielat dalej na irc.felk.cvut.cz 6667, co je priklad irc
servera.

3. Firewall nepovoluje akekolvek spojenia ktore idu zvonku do vnutornej
siete a zvnutra povoluje spojenia do internetu iba na niektore povolene porty

Toto je vysoky stupen bezpecnosti. Pokial sa napriklad banky alebo vladne
urady pripajaju na internet, volia zvycajne tuto moznost. Pokial pracujete na lokalnej
sieti ktora je takto zabezpecena a xcete si trebars nabehnut zvonka x-term,
alebo pouzit irc - nezufajte. mozete opat pouzit spomenuty redirektor a
presmerovat spojenie cez port, ktory je povoleny.

Druha moznost je pouzit TCP tunel.
Pri tejto metode bezi jeden program na vasej masine, alebo na nejakej
masine vnutri na lokalnej sieti, a druhy program bezi na stroji
vonku na internete. Program vnutri za firewallom sa vola tunel, ten sa spoji s
programom ktory je vonku, ten sa vola portal. Ked sa tieto dva
programy spoja, vytvoria tunel na TCP komunikaciu.

Nazorny priklad :

Goof: tvoja masinka.

Foo : nejaka ina masinka vo vnutri firewallu, alebo ta ista ako "Goof", na nej bezi "tunel"

Bar : stroj na opacnej strane firewallu, bezi "portal"

Boof: masina na ktoru sa chcete finalne pripojit

                  FIREWALL

  tunel              ^          portal

#########            ^         #########

#  Foo  #======================#  Bar  #

#########            ^         #########

    |                ^             |

    |                ^             |

    |                ^             |

#########            ^         #########

# Goof  #            ^         # Boof  #

#########            ^         #########

                  FIREWALL

Takze nabehnes tunel na masine Foo a nastavis ho tak, aby sa pripojil na
masinu Bar, napriklad na povolenom porte 7000 (tam bezi portal). Zaroven
nastavis tunel tak aby ti posielal vsetky TCP spojenia ktore idu naspat
z portalu na tvoju masinu Goof na port 6000 (X-Windows). Nabehnes portal
na masine Bar a nastavis ho aby pocuval tunel na porte 7000. Ked je tunel
pripojeny, portal pocuva na porte 6001 na prichadzajuce X spojenia.
Vzdy ked sa nejaka X-aplikacia pripoji na portal, spojenie sa presmeruje
cez tunel, ktory spojenie nasmeruje na masinu Goof, na port 6000.

Na zaver musis nastavit display premennu na masine Boof na Bar:1 (v tcsh
shelli napis 'setenv DISPLAY bar:1, v bash shelli 'export DISPLAY=bar:1'),
co prikaze aplikacii aby pouzila port 6001 (nemozeme pouzit port 6000 ak
bezi na tej masine X-server, ktory uz blokuje port 6000). Nabehni Xeyes a
zazmurkaju ti na obrazovke.

Na tento popisany sposob dokonca nepotrebujete mat nikde ani root prava.
Obidva spomenut programy, tunel a portal, si mozete stiahnut z arxivu
(http://hysteria.sk/arxiv/) (musim to furt opakovat ? :)
tunel a portal maju okrem ineho aj vyhodu ze sa daju skompajlovat na solarise,
irixe, freebsd, hpux a linuxe. Redir 0.7 funguje iba na solarise a linuxe.

4. Firewall nepovoluje ziadne spojenia zvonku ani zvnutra, povolene sluzby
su pristupne iba cez proxy server

Toto je maximalne zabezpecenie. Zakazat uplne vsetko a Web, FTP a trebars Gopher
povolit iba cez proxy server. V takomto pripade ste fakticky odkazani iba na
tieto sluzby, nepomoze vam ziaden redirektor ani tunel. Web je vsak plny sluzieb,
ktore vam mozno umoznia cez browser uskutocnit to, co Vam firewall zakazuje. Mam
na mysli verejne sluzby ktore umoznia cez WWW citat postu z lubovolneho POP servera,
IRC -> WWW interfasy a podobne.

Zaver

Neocakavajte na zaver sebavedome vyhlasenie typu "vidite ? firewally su nanic !".
Nebola by to vobec pravda. Dobre nakonfigurovany firewall dokaze rozumne ochranit
podnikovu siet pred utokom zvonka. Zaroven vsak casto obmedzuje a limituje uzivatelov.
Pri troske sikovnosti a casu vsak nie je problem oblafnut firewall vyssie popisanymi
metodami, predpokladom je vsak vzdy ze mate fyzicky pristup na masiny na lokalnej sieti za firewallom.

pajka

modry bod za popis tuneloveho systemu patri bishnu(at)hotmail.com, pouzil som preklad
jeho clanku z phracku 52. phrack najdete na www.phrack.com

zaciatok. bola z toho velka radost. zarazilo ma len jedno, preco
by som mal platit, ked skola dostala internet zadarmo, neplati ani
linku a server dostala sponzorskym darom, ale ...

vid motto

Takze mame to tu, PGP 5.0 for windows (commercial version) ma celkom peknu
chybicku. Neda sa povedat, ze by bola nejak zavazna ale je tu, a ja som sa
pekne pobavil.

O co ide, pgp vo verzii 5.0 prichadza s GUI. Holt chybicka se vloudila prave v
tejto casti programu.

Takze podme k veci. V aplikacii PGPkeys sa da velmi lahko menit password k
vasmu pgp klucu tzv. passphrase.(click na key, prave tlacitko, property, change
passphrase). Po kliknuti vybehnu na vas 3 text boxy a jeden check
box, check box urcuje polozku hide typing(fakt nechapem na co to je dobre, kto
to kedy videl pisat si passwordy visible).

Mame zaskrknute hide typing a dame sa do pisania hesla, a tu je zmienena
chybicka, programatori asi riesili hide typing pisanim bieleho textu na biely
podklad a zjavne nemysleli na taku moznost, ze niekoho napadne ten "hide
typing"
selektovat. Cize staci po dopisani hesla stlacit shift+home, prip. to nejakym
inym sposobom selektnut, a vidime co sme napisali.

Podobna chybicka sa vyskytuje aj pri dekodovani pgpcknutych suborov na disku:
*.pgp prave tlacitko PGP->decrypt vypyta si to password a mi piseme
(samozrejme
s "hide typing"). Tu je na tom pgp trochu lepsie, neumozni totiz selektnut ten
text pomocou shift+home ani shift+sipka s5, musime to selektnut mysou a aj to
nie hocijako. Nestaci iba stlacit lavy button a selektovat ale treba ist na to
fintickou. Finticka je nasledovna. Stlacime shift a klikneme mysou na zaciatok
a co sa nam neobjavi, nas password. :-)

Je jasne ze toto nie je velmi zavazny bug.. keby take nieco bolo v nejakom
freewarovom programceku, je mozne ze sa nad tym clovek ani nepozastavi..
ale predsa si uvedomte ze ked je tam tento bug moze tam byt aj omnoho zavaznejsi..
a to by v takom softwari ako je PGP nemalo byt.

JeboZLesa