Criando regras para ips dinâmicos no iptables
23 de Abril de 2013, 0:00 - sem comentários ainda<p>Uma boa prática de segurança é limitar o acesso a consoles administrativas ou conteúdo privado para origens específicas, mas como fazer isso no iptables quando seu ip é dinâmico?</p> <p>Existe um <a href="http://l7-filter.sourceforge.net/HOWTO">patch</a> que amplia o suporte do iptables até a camada de aplicação, só é que necessário recompilar o kernel o que dá um certo trabalho.</p> <p>Passei pelo mesmo problema e encontrei uma solução que vem funcionando muito bem. </p> <p>Usando os scripts abaixo as regras do iptables serão atualizadas sempre que houver mudança no ip de origem.</p> <p><strong>RedHat e derivados</strong></p> <p>Crie o arquivo <strong><em>/usr/bin/dynamic_iptables.py</em></strong> com o conteúdo abaixo. Ele será responsável por verificar se o ip foi modificado e irá reiniciar o iptables.</p> <p>Altere o valor da variável <strong>home_dyndns</strong> com o nome do host criado no seu serviço de DNS dinâmico ( e.g. no-ip ou dyndns )</p> <pre><code>#!/usr/bin/python import os def gettextoutput(cmd): """Return (status, output) of executing cmd in a shell.""" pipe = os.popen('{ ' + cmd + '; } 2>&1', 'r') pipe = os.popen(cmd + ' 2>&1', 'r') text = pipe.read() if text[-1:] == '\n': text = text[:-1] return text home_dyndns = "acme.no-ip.org" log_dyndns = "/tmp/iptables_noip_update.log" last_dyndns = gettextoutput("cat " + log_dyndns) cur_dyndns = gettextoutput("host " + home_dyndns) print "Log: "+ last_dyndns print "Cur: "+ cur_dyndns if last_dyndns == cur_dyndns: print "IPs match, no restart necessary" else: print "Updating last IP with current" os.system("echo '" + cur_dyndns + "' > " + log_dyndns) print "Restarting iptables to update" os.system("/etc/init.d/iptables restart") </code></pre> <p>Crie o arquivo <em><strong>/usr/bin/update_rules.sh</strong></em> que será responsável pela atualização das regras do iptables com o novo endereço de origem.</p> <p>Altere o valor da variável <em><strong>HOSTNAME</strong></em> com o nome do host criado no seu serviço de DNS dinâmico ( e.g. no-ip ou dyndns )</p> <pre><code>#!/bin/bash HOSTNAME=acme.no-ip.org LOGFILE=/tmp/iptables_noip_update.log Current_IP=$(host $HOSTNAME | cut -f4 -d' ') if [ $LOGFILE = "" ] ; then iptables -I INPUT -i eth0 -s $Current_IP -j ACCEPT echo $Current_IP > $LOGFILE else Old_IP=$(cat $LOGFILE) if [ "$Current_IP" = "$Old_IP" ] ; then echo "IP address has not changed" else iptables -D INPUT -i eth0 -s $Old_IP -j ACCEPT iptables -I INPUT -i eth0 -s $Current_IP -j ACCEPT echo $Current_IP > $LOGFILE echo "iptables have been updated" fi </code></pre> <p>No Redhat as regras do iptables são armazenadas no arquivo <em><strong>/etc/sysconfig/iptables</strong></em> criado usando o comando <em>iptables-save</em>. Quando o serviço for reiniciado as regras contidas neste arquivo serão reaplicadas. </p> <p><strong>Debian e derivados</strong></p> <p>Para rodar no Debian foi preciso fazer pequenas adaptações nos scripts. </p> <p>Crie o arquivo <strong><em>/usr/bin/dynamic_iptables.py</em></strong> com o conteúdo abaixo. </p> <p>Altere o valor da variável <strong>home_dyndns</strong> com o nome do host criado no seu serviço de DNS dinâmico ( e.g. no-ip ou dyndns )</p> <pre><code>#!/usr/bin/python import os def gettextoutput(cmd): """Return (status, output) of executing cmd in a shell.""" pipe = os.popen('{ ' + cmd + '; } 2>&1', 'r') pipe = os.popen(cmd + ' 2>&1', 'r') text = pipe.read() if text[-1:] == '\n': text = text[:-1] return text home_dyndns = "acme.no-ip.org" log_dyndns = "/tmp/iptables_noip_update.log" last_dyndns = gettextoutput("cat " + log_dyndns) cur_dyndns = gettextoutput("host " + home_dyndns) print "Log: "+ last_dyndns print "Cur: "+ cur_dyndns if last_dyndns == cur_dyndns: print "IPs match, no restart necessary" else: print "Updating last IP with current" os.system("echo '" + cur_dyndns + "' > " + log_dyndns) </code></pre> <p>Crie o arquivo <em><strong>/usr/bin/update_rules.sh</strong></em>.</p> <p>Altere o valor da variável <em><strong>HOSTNAME</strong></em> com o nome do host criado no seu serviço de DNS dinâmico ( e.g. no-ip ou dyndns )</p> <pre><code>#!/bin/bash HOSTNAME=acme.no-ip.org LOGFILE=iptables_noip_update.log Current_IP=$(host $HOSTNAME | cut -f4 -d' ') if [ $LOGFILE = "" ] ; then iptables -I INPUT -i eth0 -s $Current_IP -j ACCEPT echo $Current_IP > $LOGFILE else Old_IP=$(cat $LOGFILE) iptables -D INPUT -i eth0 -s $Old_IP -j ACCEPT iptables -I INPUT -i eth0 -s $Current_IP -j ACCEPT echo $Current_IP > $LOGFILE echo "iptables have been updated" fi </code></pre> <p><strong>Agendamento</strong></p> <p>Para automatizar o processo de atualização crie agendamentos no <em><strong>/etc/crontab</strong></em> ou no crontab do usuário root usando o comando <strong>sudo crontab -e</strong></p> <pre><code>* 8 * * * /usr/bin/dynamic_iptables.py > /tmp/dynamic_iptables.log * * * * * /usr/bin/update_rules.sh > /tmp/dynamic_rules.log </code></pre> <p><strong>Referências</strong></p> <p><a href="http://diginc.us/linux/2010/using-iptables-with-dynamic-ip-hostnames-like-dyndns-org/">Using IPTables with Dynamic IP hostnames like dyndns.org</a></p> <p><a href="http://l7-filter.sourceforge.net/HOWTO">L7-filter Kernel Version HOWTO</a></p> <div class="crp_related"><h3>Related Posts:</h3><ul><li><a href="http://blog.alexos.com.br/2011/08/05/protecao-contra-portscans-com-ossec-hids-e-portsentry/" class="crp_title">Proteção contra portscans com Ossec HIDS e Portsentry</a></li><li><a href="http://blog.alexos.com.br/2011/01/20/lamp-implementando-um-servidor-lamp-seguro/" class="crp_title">LAMP++ – Implementando um servidor LAMP seguro (…</a></li><li><a href="http://blog.alexos.com.br/2012/09/21/testando-a-ferramenta-de-protecao-multi-tarefa-artillery/" class="crp_title">Testando a ferramenta de proteção multi-tarefa Artillery</a></li><li><a href="http://blog.alexos.com.br/2011/04/30/case-bloqueando-um-http-ddos-com-modsecurity-ossec-e-iptables/" class="crp_title">Case – Bloqueando um HTTP DDoS com ModSecurity, Ossec…</a></li><li><a href="http://blog.alexos.com.br/2013/05/04/alta-disponibilidade-e-seguranca-com-nginx-e-naxsi/" class="crp_title">Alta disponibilidade e segurança com Nginx e Naxsi</a></li></ul></div>
Otimizando a detecção de ataques de SQLi com evasão do Ossec HIDS
19 de Abril de 2013, 0:00 - sem comentários aindaSQL injection é uma das vulnerabilidades mais difundidas e exploradas em aplicações Web, não é muito difícil encontrar esta falha em diversos CMSs, plugins e códigos de sites espalhados pela internet.
Ferramentas de proteção como WAFs e IDS/IPS possuem regras que alertam ou bloqueiam este tipo de ataque, porém existem diversas técnicas evasivas que permitem o concretização do ataque como:
- White Space Manipulation;
- URL encoding;
- Unicode/UTF-8;
- Hex Encoding;
- char() function;
- Comment Exploitation;
- Concatenation, etc.
O SQLmap, uma das melhores ferramentas para este tipo de ataque, possui um pool de scripts de evasão ( tamper ) bastante interessante.
Aproveitei o laboratório da apresentação que farei no Flisol para melhorar a detecção destes ataques e acabei criando algumas regras que otimizaram o tempo de identificação e o bloqueio. As regras atuais conseguem identificar o ataque, porém o delay entre a identificação e o bloqueio é um pouco alto, usando mais de um tamper e outras opções como o aumento do intervalo das requisições por exemplo piora ainda mais detecção.
Estas novas regras foram aprovadas pelo upstream do Ossec HIDS estando disponíveis no repositório do projeto e serão publicadas juntamente com a nova versão que está na versão alfa.
Quem estiver interessado em utilizar ou testar apenas adicione as linhas abaixo no arquivo /var/ossec/rules/local_rules.xml.
|
<group name=”attack,sqlinjection,”> <rule id=”160001″ level=”6″> <if_sid>31100</if_sid> <url>=%27|select%2B|insert%2B|%2Bfrom%2B|%2Bwhere%2B|%2Bunion%2B</url> <description>SQL injection attempt.</description> </rule> <rule id=”160002″ level=”6″> <if_sid>31100</if_sid> <url>%EF%BC%87|%EF%BC%87|%EF%BC%87|%2531|%u0053%u0045</url> <description>SQL injection attempt.</description> </rule> </group> |
Sugestões e melhorias serão sempre bem vindas! =P
Linode Pwned!
16 de Abril de 2013, 0:00 - sem comentários ainda
Hoje o Linode anunciou que seu ambiente de administração de servidores foi invadido. O cracker “ryan” que se diz do grupo HTP ( Hack the Planet ) assumiu a autoria do ataque com o objetivo obter informações de cartões de crédito e senhas de acesso.
Segundo o anúncio os dados dos cartões são mantidos criptografados usando chave pública e privada dentro do banco de dados e as chaves públicas são auto-encriptadas com senhas complexas. Além destas informações o cracker obteve acesso nos servidores web e “parte” do código-fonte das aplicações do Linode.
A falha explorada do Adobe ColdFusion ( CVE-2013-1387, CVE-2013-1388) foi recentemente divulgada e corrigida, ela permite o ‘bypass’ da autenticação na console administrativa.
Para os usuários deste datacenter é recomendando acompanhar as informações do cartão de crédito cadastrado, trocar a senha de acesso da dashboad usando senhas complexas, monitorar o consumo de recursos do servidor e rezar.
Para os usuários do ColdFusion é de extrema importância a atualização do ambiente, já que após explorado o servidor poderá ser utilizado para práticas criminosas ( Spam, botnet, etc ).
Não fico surpreso com esta notícia, já que a gestão de vulnerabilidades é quase que totalmente negligenciada por todos, seja ele um grande ou pequeno provedor.
Referências:
Hackers Claim to Have Gained Access to Linode Customer Passwords, Credit Cards
Blog Linode – Security Incident Update
