リンクとか備忘録とか日記とか@pcmgxxx

2005-12-12

[][] SecuriTeam™ - Sessionlimit - Rate Session Limiting Capabilities For OpenBSD's PF  SecuriTeam™ - Sessionlimit - Rate Session Limiting Capabilities For OpenBSD's PF - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  SecuriTeam™ - Sessionlimit - Rate Session Limiting Capabilities For OpenBSD's PF - リンクとか備忘録とか日記とか@pcmgxxx

http://www.lac.inpe.br/security/honeynet/tools/sessionlimit-0.3.README の『2. What's sessionlimit?』だけ勝手超訳してみたり。

2. What's sessionlimit?

Basically sessionlimit is a tool designed to interact with OpenBSD

pf in order to contain the intruders activities after a compromise

of a honeypot. It can detect when a scan or DoS is initiated from

a honeypot -- once the activity is detected a rule is inserted in

pf to block the outgoing traffic. This rule is removed after some

time.

It is important to note that the original intruder's incoming

session is not affected by the new rule. This means that the

intruder can still interact with the honeupot, but any new outgoing

connection he tries to intiate will be blocked.

2. sessionlimit とは?

 簡単に言えば、OpenBSDのpfと組み合わせて、攻撃者がハニポに侵入した後に行う様々な活動(訳注:ハニポを踏み台にしてさらに外部を攻撃したりとかとかとか)を抑え込むことができるツールです。sessionlimitを使えば“踏まれた”ハニポから外部に向けて打たれるスキャンやDoSを検知し、こういった(訳注:ハニポから見て)外向きのトラフィックを block するルールを動的に差し込むことが可能です。しばらくするとこのルールは(訳注:同じく動的に)削除されます。

 重要なのは、元々の攻撃者の通信(訳注:なり、既に攻略済みのハニポに今日も立ち寄りに来た通信なり、とにかく攻撃者からハニポに向かう“内向き”の通信)は、その“新しく挿入されるルール”に何ら影響を受けないということです。つまり、攻撃者がハニポをいじりに来た通信は維持されつつ、新たな“外向き”の通信を始めようとしてもブロックされてしまうのです。

私は pf 以外のパケットフィルタはよく知らないというかまともにドキュメントも読んだことがないのですが、さらっと読む限りすんごく上手い pf の使い方だなぁと思いました。今後に期待大。

以上、ネタ元は セキュリティホール memo

vm_convertervm_converter2005/12/12 19:29んー、>| や >|| を使うと改行が…。んな訳で勝手超訳のところも引用を意味する >> の記法にしてしまいました。引用ではないのですが済みません。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20051212

2005-05-23

[] PC-BSD - Personal Computing, served up BSD Style!  PC-BSD - Personal Computing, served up BSD Style! - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  PC-BSD - Personal Computing, served up BSD Style! - リンクとか備忘録とか日記とか@pcmgxxx

デスクトップを志向したFreeBSDベースなOS。

って、そーゆープロジェクトがあったのねぇ。

ネタ元は、yourCat の日記 (4820)

otsuneotsune2005/05/24 01:41とりあえず固有名詞typoツッコミ
s/BAFFALO/BUFFALO/

vm_convertervm_converter2005/05/24 02:08ツッコミ有難うございます。訂正しました。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20050523

2005-05-06

[][] FreeBSD に 3 つの欠陥(セキュリティホール memo)  FreeBSD に 3 つの欠陥(セキュリティホール memo) - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  FreeBSD に 3 つの欠陥(セキュリティホール memo) - リンクとか備忘録とか日記とか@pcmgxxx

手元の FreeBSD 5.3R なサーバは freebsd-update を使っているので以下な感じで楽ちん。

$ sudo -s
Password:

# freebsd-update fetch
Fetching updates signature...
Fetching updates...
Fetching hash list signature...
Fetching hash list...
Examining local system...
Fetching updates...
/boot/kernel/iir.ko...
/boot/kernel/kernel...
Updates fetched

To install these updates, run: '/usr/local/sbin/freebsd-update install'

# freebsd-update install
Backing up /boot/kernel/iir.ko...
Installing new /boot/kernel/iir.ko...
Backing up /boot/kernel/kernel...
Installing new /boot/kernel/kernel...

# shutdown -r now

ishizuishizu2005/05/06 19:42検証は自分のためだしなぁ。TOTOROさんがどうこうでなく、そういう可能性があるなら自分が安心して使うためにも確認しておきたいというだけで。微妙にならなくて大丈夫かと。:-)

しのだしのだ2005/05/06 22:465.3 だと freebsd-update ってあるんですか... 最近時間とれなくて放置状態なもんで, mac mini に引っ越ししようかと思ってました ^^;

vm_convertervm_converter2005/05/06 23:09> ishizu さん
あ、いや、そういう意味では引き合いに出してしまって済みません。単に「私自身はお二方(の検証)とも本当のことを言っていると思っている。」というコトで、「GWの昼間にスレを追いかけてるマカーで2ちゃねらーな私としてはどう書き込んだものかなぁ…」ということなんです。

vm_convertervm_converter2005/05/06 23:14>しのださん
あ、いや、freebsd-update は、<http://www.daemonology.net/freebsd-update/> のことで、ports なら security/freebsd-update でインストールできますよ。URLの先をご覧頂ければ解りますが、5.3からというものでもありません。

shiroshiro2005/05/08 01:02トモダチヅキアイの度合いで追求の度合いが変わる身内主義はセキュリティー界隈の悪癖ですな、と思えてなりませんが。まっとうに仕事している身としてはいい迷惑です。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20050506

2005-04-29

[] pfで、APNICで日本に割り当てられているIPアドレス範囲からだけSSHを許可する  pfで、APNICで日本に割り当てられているIPアドレス範囲からだけSSHを許可する - リンクとか備忘録とか日記とか@pcmgxxx を含むブックマーク はてなブックマーク -  pfで、APNICで日本に割り当てられているIPアドレス範囲からだけSSHを許可する - リンクとか備忘録とか日記とか@pcmgxxx

pf を使ってフィルタリングしている FreeBSD 5.3R なサーバに対して、「SSHでログインできる範囲を日本だけに絞りたいなぁ」と思ってやってみた。

が、参考文献。

さてまずは。APNICで日本に割り当てられているIPアドレスのリストを作ります。

楽をしたいので、ipfwとBINDによるNaverRobot対策フィルタkrfilter.pl を落としてきて、名前だけ jpfilter.pl に直して。

vi でチョコチョコ直して、APNICから割り当てリストを落としてきて。

失礼ながら形だけ krfilter.pl の機能を利用させてもらって、さくっとリストを作ります。

○jpfilter.pl を実行可能にして、編集
$ chmod +x jpfilter.pl
$ vi jpfilter.pl

○編集した内容
$ diff -U0 krfilter.pl jpfilter.pl 
--- krfilter.pl Fri Apr 29 21:13:52 2005
+++ jpfilter.pl Fri Apr 29 21:15:03 2005
@@ -1 +1 @@
-#!/usr/local/bin/perl
+#!/usr/bin/perl
@@ -12 +12 @@
-@country = ('KR');
+@country = ('JP');
@@ -47,0 +48 @@

※Mac OS Xなので、/usr/local/bin/perl を /usr/bin/perl に直してます。
※で、国名の KR を JP に置き換えてます。

○APNICから割り当てIPアドレス一覧のリストを取得
$ curl -O http://ftp.apnic.net/stats/apnic/delegated-apnic-latest
  % Total    % Received % Xferd  Average Speed          Time             Curr.
                                 Dload  Upload Total    Current  Left    Speed
100  619k  100  619k    0     0   219k      0  0:00:02  0:00:02  0:00:00  247k

○krfilter.plの機能を(形だけ)利用しつつ、リスト作成
$ ./jpfilter.pl 1000 < delegated-apnic-latest | awk '{print $6}' > jp.list

○確認
$ head jp.list 
58.0.0.0/15
58.3.0.0/17
58.4.0.0/15
58.12.0.0/15
58.70.0.0/16
58.80.0.0/15
58.84.0.0/18
58.85.0.0/16
58.88.0.0/13
58.98.0.0/16

な感じです。んで、この jp.list をサーバに送り込んで、/usr/local/etc/jp.list として配置。

/etc/pf.conf を編集して、pf を再起動させます。

○サーバに jp.list をコピーして、サーバにログイン
$ scp ./jp.list hoge@hunya:
$ ssh hoge@hunya

○ /usr/local/etc/jp.list として配置
$ sudo -s
# mv /home/hunya/jp.list /usr/local/etc/

○ /etc/pf.conf を編集
# cd /etc
# cp -p pf.conf pf.conf.bak
# vi pf.conf

○編集した内容
# diff -U0 pf.con.bak pf.conf
--- pf.conf.bak Fri Apr 29 21:46:48 2005
+++ pf.conf     Fri Apr 29 21:18:58 2005
@@ -20,0 +21,2 @@
+table <japan> persist file "/usr/local/etc/jp.list"
+
@@ -58 +60,2 @@
-pass  in  quick on $ext_if inet proto tcp from any to $ext_if port 22 keep state
+#pass  in  quick on $ext_if inet proto tcp from any to $ext_if port 22 keep state
+pass  in  quick on $ext_if inet proto tcp from <japan> to $ext_if port 22 keep state

※要は、jp.list を <japan> ってゆー table として読み込んで、
 SSHをpassしてるルールに <japan> を入れてるだけです。

○ pf を再起動
# /etc/rc.d/pf restart
No ALTQ support in kernel
ALTQ related functions disabled
Disabling pf.
No ALTQ support in kernel
ALTQ related functions disabled
pf disabled
Enabling pf.
No ALTQ support in kernel
ALTQ related functions disabled
No ALTQ support in kernel
ALTQ related functions disabled
No ALTQ support in kernel
ALTQ related functions disabled
pf enabled

○ pf のフィルタルールを確認
# pfctl -sr

○一応 pf の状況を全て再確認
# pfctl -sa

以上です。って、要は、<japan> ってゆー pf の table をファイルから読み込ませてるだけなんですが。

pf の table については、PF: The OpenBSD Packet FilterPF: Tables を参照のこと。

後は手元の SL-C760 から AIR EDGE 経由でこのサーバに入ってみて、確認してみたり。

上手くいってるみたいです。> 誰となく

まぁただ、あくまでAPNICの国別割り当てリストに載ってる範囲しか許可されてない訳ですが。

# うぉ。diff の - やら + が list に置き換わってた(汗

shiroshiro2005/05/02 17:41Components にもチェックはいってますた。手抜きして ATOK17 を Previous Systems から引っぱってきた時に権限ミスってロードされず「なんでぢゃー」と悩んだなんて恥ずかしくて言えませんが(^^;

vm_convertervm_converter2005/05/06 14:53お。情報有難うございます。そう言えば ATOK 使ってたんですね。(^^;;

トラックバック - http://pcmgxxx.g.hatena.ne.jp/vm_converter/20050429