Skocz do zawartości
glorifyday

Prosta strona WWW na ruterze z Tomato - czym ryzykuje?

Oceń temat:

Rekomendowane odpowiedzi

glorifyday

Mam taki pomysl, zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze. Skrypt nie robi rzeczy niebezpiecznych, jak jakis bot go uruchomi, to nie jest dla mnie problem.

Wiekszy bylby problem, gdyby przez te strone mozna bylo skrypt odczytac, a jeszcze wiekszy, gdyby dalo sie uruchomic jakis skrypt czy kod "podrzucony".

Lewy jestem w materii stron WWW na maksa, zatem chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

Dodatkowe uwagi.

  • Port 443 mam zajety, nie moge go niestety wystawic na zewnatrz.
  • Jesli to bedzie dzialac i jesli da mi wiecej bezpieczenstwa, moglbym wystawic strone po https na porcie 80, ale nie wiem, czy sie przegladarki nie beda gubic.
  • Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?
  • Moge rozwazyc jakies captcha, ale tu tez jestem lewy, nie wiem jak sie do tego zabrac.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
house

chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

przede wszystkim nieautoryzowanym wykonaniem. możesz dorobić jakiś prosty ogranicznik plikiem .htaccess :
    Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość.
a uprawnienia zmienić tak aby odczyt i wykonanie miał konkretny user.

 

Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?

hasło przez powyższe rozwiązanie może być (a nawet musi) zakodowane zgodnie z algorytmem MD5

anyway, czy tomato nie ma czasem webserwera nginx ? Jeśli tak to trzeba :

    Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość.
. Nie używam tomato więc nie wiem jak serwować coś z niego.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
glorifyday
W dniu 10.06.2015 o 13:51, house napisał:
zakodowane zgodnie z algorytmem MD5

Ale to nie jest jakies specjalnie pewne zabezpieczenie.

Popatrze na .htaccess i zerkne na tego nginxa.

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
house
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

możesz te skrypty ukryć zmienną "location" - analogicznie jak to robi się z plikami konfiguracyjnymi softu. Klient otrzyma 444 - brak odpowiedzi i nginx rozłączy request.

W dniu 10.06.2015 o 16:44, glorifyday napisał:

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Myślę, że jeśli poświęcisz trochę czasu nad tematem to będzie działać w miarę bezpiecznie. Chociaż internet niejedno już widział i czytał.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
bischop
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

nie musisz do czasu aż w sofcie który stanowi serwer www bądź w kodzie firmware'u maszyny znajdzie się dziura która umożliwi w jakiś sposób zdalne wykonanie kodu. Możesz mieć jeszcze problem z przez siebie błędnie napisanym skryptem np. PHP który to np. wywołuje zapytanie na bazie danych. Dane do zapytania pobierane są przez ten skrypt za pomocą forumlarza www. Luka polega na tym, że odpowiednio wprowadzone dane w polu formularza i zawołane na bazie danych powodują wykonanie na bazie nie tego "kodu" który ty byś chciał, ale tego co wstawi atakujący [*].

To, że wrzucisz skrypt na serwer www nie znaczy, że zdalnie będzie można odczytać kod skryptu. Skrypt będzie uruchamiany i wyświetlane będą jego rezultaty działania - chyba, że skonfigurujesz serwer tak, że nie będzie uruchamiał skryptu tylko go "wyświetlał" jako dokument tekstowy.

I dość istotne jest tak jak wspominali przedmówcy abyś zainteresował się tym .httaccess'em - bo to bardzo ułatwia życie. Np. da się tam ograniczyć listowanie folderów pod względem zawartości plików w nim się znajdujących. Bo po co ktoś ma mieć możliwość zobaczenia, że w folderze "config" masz plik "passwords.ini" - a potem będą próby pobrania zawartości takiego pliku, bądź wywołania (w jakiś sposób) skryptu zdalnie tak, aby plik odczytał i wyświetlił.

Jeżeli atakujący nie wie czego szukać, nie zna struktury, wersji oprogramowania znajdującego się na serwerze to jest mu trudniej.

 

Cytuj

zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze

Taki link zostanie wykonany w przeciągu 30 minut po wystawieniu przez ciebie skryptu "na świat" jeżeli tylko podasz gdzieś swój adres IP na publicznej istniejącej stronie www. Uruchomią go np. internetowe boty wyszukiwarek internetowych np. google.

 

 

 

[*] czytać:

    Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość.

Command Injection on router:

    Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość.

Edytowane przez bischop

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się


  • Podobna zawartość

    • Coreus
      Przez Coreus
      Hej,
      Już wcześniej pisałem na forum w podobnym temacie: 
       
      Cóż trochę czasu upłynęło. Jakiś czas temu skończyła mi się umowa na czas nieokreślony na Internet LTE.  Z początku "jakość" internetu była bardzo przyzwoita, z czasem niestety, jak to zwykle bywa. Nadszedł więc czas, by coś zmienić!
      Dlatego postanowiłem teraz odświeżyć temat, podzielić się informacjami , wyciągnąć wnioski z doświadczeń i zrobić drugie podejście, by poprawić jakość i prędkość, a przy okazji dowiedzieć się czegoś od Was i zostawić coś dla innych. 
       
      Internet LTE - od czego zacząć?
      1. Zanim zdecydujesz się na operatora sieci komórkowej oraz indywidualny! zakup sprzętu - sprawdź dostępność Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość.  (+
      Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość. ):   
      a) zwróć uwagę na maszty operatorów pod kątem LTE. Zrób ich listę z uwzględnieniem lokalizacji oraz pasma:
       
      b) sprawdź odległość do interesujących Cię masztów - np.
      Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość. to umożliwia:
      c) przeanalizuj listę masztów: dla każdego masztu z listy - zwróć uwagę na topografię terenu, odległość, wszelkiego rodzaju przeszkody - odrzuć te najdalsze, bądź niekorzystnie zlokalizowane (z uwagi na przeszkody - np. las, budynki, ukształtowanie terenu itp.) 
      d) przygotuj listę pomiarową (dostępni operatorzy z konkretnym pasmem i odległością do nadajnika + pomiary sygnału - więcej
      Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość. ):
      Garść informacji o oznaczeniach:
      2. Przeanalizuj ofertę internetu LTE u operatorów komórkowych:
      a)  całkiem przyjemnie zebrana oferta do kupy: 
      Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość. jedni operatorzy oferują większy limit, drudzy za to przy jego przekroczeniu ograniczają prędkość do 2Mbit/s zamist 32Kbit/sek, a jeszcze inni dają za darmo brak limitów w godzinach 0:00-8:00 (warto zwrócić uwagę)
      b) pamiętaj, że internet LTE bez limitu nie istnieje!: 
      Dodaj reakcję lub odpowiedz w tym temacie, aby zobaczyć ukrytą zawartość. 3. Wybierz kilka operatorów w oparciu o listę wybranych masztów (pkt 1) oraz na podstawie przeanalizowanej oferty (pkt 2). Zakup karty startery na internet, by mieć na podstawie czego przetestować i wybrać najlepszą opcję - nie tylko odległość, oferta, ale również faktyczny stan ilości przyłączonych użytkowników, będzie mieć wpływ na szybkość internetu.
      4.  Pora zastanowić się nad wyborem sprzętu:
      Kup sprzęt sam (osobista sugestia) - nie decyduj się na ten w ofercie od operatora sieci komórkowej. Dlaczego? Cóż operatorzy czasami oferują sprzęt, który wspiera LTE - ale przykładowo router ma tylko 1 wyjście antenowe - np. D-Link DWR-921E. Co prawda nie jest to regułą. Generalnie w interesie operatorów sieci komórkowej jest jak najwięcej pozyskać klientów, a jak najmniej inwestować w rozbudowę i modernizację obecnej infrastruktury.
      Jest kilka możliwości:
      - wariant 1 - router z podwójnym wyjściem antenowym i obsługą kart pod internet dual LTE + antena
      - wariant 2 - router z obsługą modemów dual LTE + modem dual LTE (koniecznie HiLink\NDIS) z dwoma wyjściami antenowymi + antena
       
      W kolejnych postach postaram się skupić nad wyborem anteny - co zresztą na chwilę obecną najbardziej mnie interesuje. Pomyślałem jednak, że wstęp powyżej, może być przydatny dla innych.
    • maxikaaz
      Przez maxikaaz
      Wydawać by się mogło, że skończy się nam ścieżka rozwoju dla jednego z najbardziej znanych i lubianych softów.
      Nowy Broadcom - BCM4708 - to już nie MIPS, jak poprzednie, a ARM.
      Z pierwszych przedstawicieli mamy Linksysa EA6700 - już w sprzedaży (cena ok. 190 funtów w UK). Nadal logo Cisco na obudowie
      W kolejce na debiut rynkowy czeka już Asus RT-AC67U.
       
      Coś czuję, że mamy do czynienia ze skokiem jakościowym.
    • bischop
      Przez bischop
      Hi
      On my router:
      Tomato v1.28.0000 MIPSR2-2.4-123 K26 USB AIO ======================================================== Welcome to the Netgear WNR3500L v2 [TomatoUSB] # uname -a Linux unknown 2.6.22.19 #4 Wed Oct 29 11:33:28 CET 2014 mips GNU/Linux got problem with DDoS attack. From time to time - usually every day between 6 p.m. - 01:00 a.m. - somebody is attacking. I`m not sure he is attacking from only one IP address or many.
      I got no proper rules for my iptables and i`m not sure exacly how to defend from this kind of attack.
      I think this kind of attack is not on TCP but UDP protocol. Why? becouse i think somebody is trying to DDoS my TeamSpeak v3 server behind that router. If TeamSpeak is turned off - there are not DDoS attack at all, my router is alive and not under heavy traffic.
      Using iptables && conntrack got a problem, becouse my iptables rules are not accepted becouse i got no conntrack :
      # iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP iptables v1.3.8: Couldn't load match `conntrack':File not found Try `iptables -h' or 'iptables --help' for more information.  
       
       
      That is weird becouse i think i got it:
      # lsmod | grep conntrack nf_conntrack_h323 37152 0 nf_conntrack_ipv6 14176 3 # modprobe -l | grep conntrack /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_h323.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_proto_gre.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_sip.ko /lib/modules/2.6.22.19/kernel/net/ipv6/netfilter/nf_conntrack_ipv6.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_ftp.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_pptp.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_rtsp.ko So if i got it - i dont know how to load this module for IPv4.
      # ll -a /lib/modules/2.6.22.19/kernel/net/ipv4/ drwxr-xr-x 3 root root 191 Oct 29 2014 ./ drwxr-xr-x 9 root root 105 Oct 29 2014 ../ -rw-r--r-- 1 root root 7704 Oct 29 2014 ah4.ko -rw-r--r-- 1 root root 9288 Oct 29 2014 esp4.ko -rw-r--r-- 1 root root 9160 Oct 29 2014 ipcomp.ko drwxr-xr-x 2 root root 593 Oct 29 2014 netfilter/ -rw-r--r-- 1 root root 5344 Oct 29 2014 tcp_vegas.ko -rw-r--r-- 1 root root 5176 Oct 29 2014 tunnel4.ko -rw-r--r-- 1 root root 3284 Oct 29 2014 xfrm4_mode_beet.ko -rw-r--r-- 1 root root 2388 Oct 29 2014 xfrm4_mode_transport.ko -rw-r--r-- 1 root root 3292 Oct 29 2014 xfrm4_mode_tunnel.ko -rw-r--r-- 1 root root 3956 Oct 29 2014 xfrm4_tunnel.ko  
       modprobe -a /lib/modules/2.6.22.19/kernel/net/ipv4/  <doesnt exist nf_conntrack_ipv4.ko>
       
       
      So my question is how to load conntrack ipv4 to get iptables working with it for udp?
      How to set proper rulez for droppig udp traffic by iptables?
      How to configure my router to defend that DDoS?
       
  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Więcej informacji zawiera nasza Polityka prywatności