darksecurity.de | Entries from August 2008

Erreichbarkeit mit IPv6

TCP-SYN-Proxy

Links

IPv6 fürs Heimnetzwerk

SSH-Hopping mit Socks-Proxy

Die ABSOLUT SICHERE Firewall

Block SSH-Bruteforce

Posted by on Sunday, August 31. 2008

Seit ein paar Minuten ist die Seite auch mit IPv6 erreichbar ;)

# host rul3z.de
rul3z.de has address 212.89.128.10
rul3z.de has IPv6 address 2a01:198:200:16a::2

Ob man mit IPv6 unterwegs ist sieht man an dem kleinen Logo, auf der linken Seite ganz unten

Als Schutz gegen "TCP-SYN-Flooding" bietet PF die Möglichkeit als TCP-SYN-Proxy zu fungieren. In diesem Fall wird PF den TCP-Handschlag ( three-way handshake ) mit dem Client selbst absolvieren, danach einen Handschlag mit dem Server beginnen und erst dann die Pakete zwischen den beiden durchlassen. Dieses vorgehen bietet Schutz gegen die Gefahr eines "spoofed" TCP-SYN-Floods.

Zum Schutz eines Webservers mittels des TCP-Proxy ist folgender Eintrag in der pf.conf nötig

pass in on $ext_if proto tcp from any to $web_server port www flags S/SA synproxy state

http://www.openbsd.org/faq/pf/de/filter.html#synproxy

http://www.bsi.bund.de/fachthem/sinet/gefahr/vulner/begriffe3.htm

http://www.inetdaemon.com/tutorials/internet/tcp/3-way_handshake.shtml

Posted by on Saturday, August 23. 2008

Nachdem ich bereits einen IPv6-Tunnel über SixXS am laufen hatte und meinen Router von zu hause über OpenVPN ebenfalls IPv6-tauglich gemacht habe, blieb ja eigentlich nur noch der Rest vom Netzwerk ;P

Den Aufbau sieht man hier auf dem Netzplan, und ein kleines HowTo gibt es hier im Wiki

Posted by on Monday, August 18. 2008

Einen Tunnel über SSH aufbauen kann eine feine Sache sein :)

Möchte man zusätzlich einen weiteren Tunnel nutzen und am Ende gar einen Socks-Proxy zur Verfügung haben, hilft folgender Befehl:

ssh -C -2 -t -p 22 -L 24000:localhost:25000 root@10.1.1.1 ssh -D 25000 root@192.168.1.1

Hiermit steht einem auf localhost:24000 ein Socks-Proxy zu Verfügung ;P

Posted by on Sunday, August 10. 2008

So, nun ist es endlich soweit. Nach Monaten und Jahren des Testens,Recherchierens kann ich es der Welt nicht länger vorenthalten, die ABSOLUT SICHERE Firewall. Zwei Firewalls haben es ins "Ziel" geschafft, welche ich Ausnahmslos empfehlen kann:

Das wäre einmal die Rundumlösung, und wer ganz ganz sicher gehen will, sollte die ABSOLUT SICHERE Firewall benützen !!

Wer sich trotzdem noch ein bissle mit dem Thema beschäftigen will, auch wenn es jetzt nicht mehr nötig ist, hier noch ein paar Links:

August '08

Posted by on Sunday, August 10. 2008

Ich habe grade mal ein kleines HowTo ins Wiki gestellt, wie man mittels PF ( Der OpenBSD Packet Filter ), SSH-Bruteforce-Attacken eindämmen kann. Man sollte sich, meiner Meinung nach, klar darüber sein, dass dadurch die Systemsicherheit NICHT sonderlich erhöht wird. Mit vernüftigen Passwörtern, Public Key Authentifizierung oder gar Einmalpasswörtern, ist man hier besser bedient. Zudem sollte man den Root-Login per SSH verbieten und stattdessen "su" benutzen.