Archivio per la categoria '4-notice '

La deposizione delle uova Un CMD prompt Da MS Word o Excel

15 OTTOBRE 2009

Questo è un vecchio trucco, ma vedo ancora un certo numero di amministratori che pensano di aver bloccato gli utenti fuori dal prompt dei comandi semplicemente rimuovendo l'icona dal menu e disabilitando la Start-> Esegui opzione. In questo post parlerò di come creare un prompt dei comandi con Visual Basic for Applications (VBA), e come per mitigare (ma mai completamente eliminare) il rischio di accesso qualcuno raggiungimento al prompt.

Creazione di un prompt dei comandi con VBA

Questa tecnica funziona con qualsiasi applicazione che supporti VBA, ma sono specificatamente intenzione di utilizzare Microsoft Word nel mio esempio. Ecco cosa dovete fare:

  1. Lancio di Microsoft Word
  2. Premere il tasto "ALT-F11" per avviare l'editor di VBA
  3. Fare doppio clic su "ThisDocument" nel pannello di sinistra
  4. Quando appare la finestra di editor, digitare il testo mostrato nella Figura # 1
  5. Premere il tasto "F5"
Figure 1: Our simple VB script

Figura 1: La nostra semplice script VB

Dovreste vedere una finestra di prompt dei comandi visualizzato nella barra delle applicazioni. Ecco una copia del codice necessario al punto 4 in modo da poter copia / incolla:

Sub GetCMD ()

Shell "cmd.exe cmd.exe"

End Sub

Come prevenire la deposizione delle uova VBA da un prompt dei comandi

L'esecuzione del prompt dei comandi può essere disattivato con l' Editor Criteri di gruppo strumenti. Ecco i passaggi:

  1. Fare clic su Start -> Esegui
  2. Digitare "gpedit.msc" (senza le virgolette)
  3. Fare clic su Configurazione utente -> Modelli amministrativi -> Sistema
  4. Cerca l'elenco per "Impedire l'accesso al prompt dei comandi" e fare doppio clic su di esso

Avete due opzioni a vostra disposizione:

  • Abilitare / disabilitare l'accesso al prompt dei comandi
  • Sì / No Disabilita processo di scripting prompt dei comandi

Se si disattiva la prima opzione, l'accesso diretto al cmd.exe è impedito, ma un utente intelligente può comunque arrivare ad essa tramite un file batch. Per impedire l'accesso script, è necessario disabilitare la seconda opzione pure. Questo impedisce che TUTTI lo scripting e comunque possono essere devastanti in molti ambienti. Inoltre, entrambe queste impostazioni valgono per l'account Administrator pure. Questo può rendere admin e la risoluzione dei problemi molto più difficile.

Anche con entrambe le opzioni disabili, un utente può comunque aggirare queste impostazioni utilizzando command.com invece di cmd.exe. Per risolvere questo problema, è necessario limitare l'accesso a via command.com autorizzazioni utente. Se sono ancora in corso alcune vecchie applicazioni a 16 bit, questa correzione si rompono.

Tutti questi passaggi non risolvono completamente il problema comunque. Un utente che conosce che cosa stanno facendo con il debug può semplicemente copiare cmd.exe in un'altra posizione e modificare così un prompt si ottiene quando lo si utilizza per eseguire un comando fasullo. Quindi dobbiamo anche eliminare "debug.exe".

Anche allora, un programmatore esperto in grado di creare un eseguibile per aggirare tutti i controlli di sicurezza di cui sopra. Quindi abbiamo bisogno di rimuovere tutte le possibilità di copiare o scrivere sul disco pure. Inutile dire che avere un computer abbastanza inutile a quel punto.

Executive Summary

Se qualcuno intelligente ha accesso al vostro sistema, non è certo che sarà in grado di impedire che lui o lei da arrivare a riga di comando. L'Editor Criteri di gruppo può certamente rendere più difficile, ma lo strumento riduce semplicemente il rischio di attacchi. Non è possibile eliminare completamente il rischio, senza ostacolare gravemente il funzionamento del sistema e l'utilità.

Nessun commento »

Pubblicato in 4-preavviso , Windows Security

Tags:

Come utilizzare il completamento automatico di Windows e Line Cronologia dei comandi

13 ago 2009

Sono imbattuto in questo problema presso un cliente così oggi ho pensato di pubblicare alcune informazioni su di esso. Vedo un sacco di amministratori di Windows che non sanno come sfruttare appieno la funzione di completamento la funzionalità di Windows così come la storia linea di comando. Vedo anche Linux e gli amministratori UNIX che si confondono, perché queste caratteristiche funzionano in modo diverso sotto Windows. Pensato che sarebbe scrivere un rapido how-to.

Finestre di completamento automatico

Il completamento automatico vi permette di inserire una porzione di un nome di file e avere il sistema compilare il resto del nome per voi. E 'un ottimo modo per risparmiare pochi tasti. Basta digitare le prime due lettere del nome del file e premere il tasto <tab>. Il primo file nella directory corrente, che inizia con le lettere digitate, sarà compilato sulla riga di comando. Questo è mostrato nella Figura # 1.

win-auto-complete

Per le persone che hanno usato il completamento automatico in UNIX o Linux, qui è dove si confondono. Entrambe le piattaforme richiedono di digitare abbastanza del comando che deve essere unico. È quindi possibile premere <tab> per riempire il resto del file. Windows funziona un po 'diverso.

Si noti nella Figura # 1 Windows compilato il primo nome di file corrisponde alla stringa di caratteri "reti" la prima volta è stato premuto il tasto <tab>. Se questo non è il file che volevi, basta premere il tasto <tab> una seconda volta. È possibile continuare a premere il tasto <tab> e scorrere tutte le opzioni possibili del file.

Alla fine il sistema andrà a capo e tornare al primo file ha presentato. Per esempio premendo <tab> sei volte nell'esempio di cui sopra si ritorna il file denominato "netsetup.cpl". Se avete bisogno di scorrere all'indietro attraverso le opzioni del file, è sufficiente tenere premuto il tasto mentre si preme <Shift> <tab>.

La storia dei comandi di Windows

La maggior parte delle persone rendono conto è possibile premere i tasti freccia su e giù per scorrere la cronologia della linea di comando. Hai provato la chiave <F7>? Se si lavora in un prompt dei comandi e premere il tasto 7 funzioni (<F7>), viene visualizzato un menu che mostra tutti i comandi che avete digitato. Questo è illustrato nella figura n. 2. È quindi possibile utilizzare le frecce su e giù, come pure la <Configurazione <Page e le chiavi <Freccia <Page, di navigare l'elenco dei comandi.

prompt-history

Ecco un altro settore in cui Windows funziona in maniera leggermente diversa rispetto a Linux e UNIX. Con Linux e UNIX, premendo la freccia in su saranno sempre recuperare l'ultimo comando digitato. Se si dispone di 10 comandi sequenziali che si desidera ripetere, dovrete colpire ripetutamente il tasto freccia fino 10 volte per recuperare ogni comando in sequenza. Windows rende questo processo un po 'più facile.

Prova questo sul vostro sistema Windows:

  • Aprire un prompt dei comandi
  • Digitare il numero 1 e premere <enter>
  • Ignora il comando non trovato errore
  • Ripetere gli ultimi due passaggi per i numeri 2-10
  • Premere la freccia verso l'alto fino ad ottenere il numero 5
  • Premere enter
  • Stampa <F7>

Un esempio è illustrato nella figura # 3. Si noti la barra dei menu è il numero 5. Questo è il punto di riferimento attuale nella cronologia dei comandi. Mentre premendo la freccia su una linea di comando Linux o UNIX si ricorda sempre l'ultimo comando digitato, Windows spostare il punto di riferimento per ultimo comando richiamato. Quindi, premendo freccia su richiama il comando prima l'ultimo comando richiamato, non il comando eseguito come Linux e UNIX.

win-auto-complete2

Per verificare ciò, premere il tasto Esc. In questo modo si ritorna al prompt dei comandi. Ora premete la freccia in su. Questo richiamo "4", il comando prima di "5" nella storia, non "10" che è stato l'ultimo comando eseguito prima di ricordare "5". Ora premete la freccia verso il basso fino a quando il comando "7" viene visualizzato e premere <Invio>. Se ora si preme <F7> noterete il puntatore di riferimento è stato spostato a "7", l'ultimo comando richiamato.

Executive Summary

Alcune funzioni gestite in modo diverso dalla riga di comando di Windows rispetto ai loro omologhi UNIX o Linux. Il completamento automatico e la linea della cronologia dei comandi sono due grandi esempi. La cui attuazione è preferibile, dipende insolitamente su quale sistema operativo si sta più comodi usando.

Nessun commento »

Pubblicato in 4-preavviso , Windows Security

Tags:

DLP FAQ

7 AGO 2009

Ho avuto un paio di domande riguardanti la SANS perdite di Protezione e crittografia vertice sarò note chiave il mese prossimo. Le domande si sono concentrati sui DLP, in generale, così ho pensato di dare una corsa verso il basso sulla tecnologia.

Che cosa è DLP?

DLP sta per "la prevenzione delle fughe di dati" o "Data Loss Prevention", a seconda del fornitore cui si sta parlando. Ci sono alcuni nomi di altri attualmente in fase di rimbalzo nei dintorni (devi amare la gente di marketing cercando di fare le loro cose sguardo nuovo e più fresco ;) ), Ma sono effettivamente la stessa tecnologia. DLP i tentativi di accesso, o forse vietare il trasferimento di informazioni sensibili da un luogo sicuro in un luogo insicuro.

Le informazioni sensibili di solito comprende dati come numeri di carta di credito o numeri di previdenza sociale. La maggior parte vi darà anche la possibilità di definire frasi o file specifici come sensibili. Naturalmente la quantità di personalizzazione si ottiene dipende dal prodotto, ma queste caratteristiche sono abbastanza standard. La grande differenza tende ad essere con la facilità di creazione politica. Alcuni consentono di utilizzare un linguaggio semplice, naturale, mentre altri potrebbero richiedere di imparare una Regex tipo di linguaggio di espressione per creare politiche e scrivere filtri.

Pensate di dispositivi DLP come sistemi di rilevamento delle intrusioni per specifiche parole chiave e avrete l'idea. In effetti alcuni NIDS stabilito e fornitori NIPS sono ora touting loro capacità DLP pure. Hai anche un certo numero di start-up che si concentrano in particolare sul mercato DLP.

Come funziona DLP lavoro?

Attualmente ci sono tre diversi metodi di DLP di distribuzione:

  • Sul filo
  • Sul server
  • Sul desktop

Alcuni produttori supportano un solo metodo di implementazione, mentre altri supportano tutti e tre. Ci sono punti di forza e di debolezza di ciascuno, che mi occuperò più avanti in questa FAQ.

Quanto DLP costo?

Dal momento che è una nuova tecnologia, i prezzi sono in tutto il bordo. Una società di medie dimensioni (50-500 nodi) possono aspettarsi di pagare dovunque da $ 30.000 a $ 200.000 negli Stati Uniti. Questi dispositivi non sono Plug mezzi e giocare, quindi una parte del costo include la configurazione del dispositivo e personalizzazione per l'ambiente specifico. Si dovrebbe anche aspettare un po 'di piombo in tempo a ottenere il dispositivo (s) distribuiti in modo corretto.

Quali sono i problemi con il DLP?

Probabilmente il problema più grande con tecnologia DLP è che può essere facilmente sconfitto. E 'davvero progettato per impedire perdita accidentale dei dati, piuttosto che un vero e proprio attacco. Si dovrebbe considerare DLP un accessorio al postura di sicurezza esistenti, non un sostituto per ogni tecnologia in precedenza distribuito.

Per esempio, la distribuzione DLP sul filo è probabilmente l'implementazione più rapida ed efficace. Il problema è che può essere facilmente sconfitto da crittografia. Quindi, se ho crittografare un file sensibili prima della trasmissione, o sfruttare una tecnologia VPN (vedi punti 5 e 4 sulla mia Top 5 Minacce Firewall ) post, la rete basata DLP sarà in grado di visualizzare le informazioni di passaggio.

Alcuni dispositivi DLP può darvi limitata capacità di aggirare il problema di crittografia. Per esempio Fedelis si integrerà con una serie di prodotti proxy per controllare HTTPS passaggio. È necessario acquistare un prodotto supportato comunque e configurarlo specificamente per prevenire end-to-end di HTTPS (il proxy interrompe il flusso cifrato in modo payload possono essere analizzati). Anche allora hai risolto il problema solo su HTTPS. Dati criptati attraverso altre porte sarà ancora un problema. O un utente malintenzionato potrebbe criptare il file in locale e poi trasmettere via HTTPS perché tutti i proxy può striscia di distanza si trova la crittografia SSL.

Distribuzione DLP sul desktop risolve alcuni di questi problemi, ma non tutti. Per esempio gli agenti del desktop che ho visto fare un buon lavoro mi impedisce di trasferire un file sensibili via Internet o su un'unità USB locale. Se si esegue un agente basato DLP, provate questo:

  1. Aprire un file sensibili
  2. Creare una cattura dello schermo di informazioni sensibili (CTRL-ALT-Print schermo)
  3. Aprire Windows Paint e premere CTRL-V
  4. Salvare il file in formato GIF o JPG
  5. Copia su un disco USB o il trasferimento via Internet

Se i risultati sono simili al mio, troverete questo sciocchi trucco molto semplice, l'agente a far passare i dati. Se si voleva ottenere davvero slick, è possibile aggiungere un po 'di steganografia .

Executive Summary

DLP è una tecnologia potente che può aiutare a prevenire il rilascio di informazioni sensibili. Attualmente è più adatta per la prevenzione contro la perdita accidentale dei dati, piuttosto che un aggressore determinato. Se la diffusione dei dati sensibili è un problema serio, potrebbe essere necessario rielaborare l'architettura attuale in modo da chiudere i fori DLP non può difendere.

Nessun commento »

Pubblicato in 4-preavviso , Sicurezza Generale

Tags:

Accesso rapido a Windows Admin Tools

28 LUGLIO 2009

Nel mio ultimo post ho parlato di come utilizzare la GUI di Windows può a volte essere ingombrante. Se si amministra una rete Windows, si sono spesso sfruttando gli strumenti di amministrazione di Windows. Ecco alcuni suggerimenti per rendere questo compito un po 'più facile.

Elenco degli Strumenti

Ecco un elenco di strumenti di amministrazione della finestra più comunemente utilizzati, oltre che il comando necessario per lanciare loro:

  • Aggiungi / Rimuovi Programmi = appwiz.cpl
  • Gestione certificati = certmgr.msc
  • Computer Manager = compmgmt.msc
  • Pannello di controllo = control.exe
  • Copia dello schermo negli appunti = <ctrl> <Stamp> Scrn>
  • Copia finestra attiva negli appunti = <ctrl> <alt> <Stamp> Scrn>
  • Gestione periferiche = devmgmt.msc
  • Visualizzatore eventi = eventvwr.msc
  • Esplora file = explorer.exe
  • Verifica firma file = Sigverif.exe
  • Criteri di gruppo Editor = gpedit.msc
  • Microsoft Management Console = MMC
  • Proprietà di rete = controllo netconnections
  • Performance Monitor = perfmon.msc
  • Editor del Registro = regedt32.exe
  • Centro sicurezza PC = wscui.cpl
  • User Manager = lusrmgr.msc
  • Security Policy Editor = secpol.msc
  • Servizi schermo = services.msc
  • Solitaire = sol.exe
  • Utility System Config = msconfig.exe
  • Task Manager = taskmgr.exe
  • Task Manager = <Ctrl> <Maiusc> <Esc>
  • Utilità di pianificazione di controllo = schedtasks
  • User Manager = lusrmgr.msc

Opzioni di avvio veloce

Ecco alcuni consigli per rendere ciascuno dei sopra facilmente accessibile:

  1. Fare clic su Start -> Esegui e digitare il comando di cui sopra
  2. Stampa <Windows key> <r> quindi digitare il comando di cui sopra
  3. Creare un collegamento sul desktop
  4. Creare un collegamento sulla barra delle applicazioni
  5. Creare un gruppo unico programma quindi tutto è in un posto

Nessun commento »

Pubblicato in 4-preavviso , Windows Security

Tags:

Collegamenti utili per l'IP di Windows Geek

25 Luglio 2009

Molti di noi fare dei test con i nostri sistemi Windows che inevitabilmente ci richiedono di modificare le impostazioni del firewall e informazioni IP. Mentre Windows ci ha dato una bella interfaccia grafica per eseguire queste attività, può essere ingombrante per navigare le opzioni di menu. In questo post vi mostrerò come creare alcune icone può aiutare a tenere meglio il controllo di questo problema.

Trattare con il firewall di Windows

Una delle attività più comuni che è necessario eseguire disattivazione e attivazione del firewall di Windows. A volte è necessario spegnerlo per i test, ma ovviamente vogliamo che riaccesa di nuovo se sono connesso ad una rete potenzialmente ostili. Questo introduce l'ulteriore problema che non riesco mai a ricordare se l'avessi acceso o spento l'ultima volta che è stato avviato il sistema.

Disabilitare il firewall di Windows

Aprite un editor di testo e creare un file di nome disable-firewall.bat. Digitare la seguente riga nel file:

netsh firewall set opmode disabilitare

Ora salvate il file e creare un collegamento sul desktop che punta ad esso. Ogni volta che si fa doppio clic sull'icona, il firewall di Windows si spegne.

Abilitare il firewall di Windows

Aprite un editor di testo e creare un file chiamato enable-firewall.bat. Il file conterrà solo una sola riga:

netsh firewall set opmode permettere

Ora salvate il file e creare un collegamento sul desktop che punta ad esso. Ogni volta che si fa doppio clic sull'icona, il firewall di Windows si accende.

Verifica lo stato del firewall di Windows

Aprite un editor di testo e creare un file chiamato fw-status.bat. Digitare le seguenti tre righe nel file:

netsh firewall mostrare lo stato
pausa
uscita

Ora salvate il file e creare due collegamenti puntano ad esso. Uno sul desktop e uno nel vostro gruppo di avvio. All'avvio del primo sistema in su, un prompt dei comandi si apre mostrando l'attuale stato del firewall di Windows. Sarà quindi una pausa sullo schermo finché non si preme un tasto. Ogni volta che è necessario controllare lo stato corrente, è sufficiente fare doppio clic sul collegamento è stato posizionato sul desktop.

Trattare con impostazioni IP

Se ogni rete utilizzata DHCP, occupandosi di IP sarebbe molto più facile. Quando si lavora in un laboratorio tuttavia, in genere necessario configurare manualmente IP per le comunicazioni. Ovviamente possiamo usare l'interfaccia grafica per questo, ma è facile per semplificare il processo con un paio di scorciatoie.

Impostare manualmente un indirizzo IP wired

Ai fini di questo esercizio darò per scontato l'indirizzo IP da assegnare è 192.168.1.10. Modificare l'indirizzo IP, se necessario.
Aprite un editor di testo e creare un file denominato 192-168-1-10.bat. Il file conterrà solo una sola riga:

netsh interface impostare l'indirizzo IP locale statico 192.168.1.10 255.255.255.0

Ora salvate il file e creare un collegamento sul desktop che punta ad esso. Quando mai si fa doppio clic sull'icona, l'indirizzo IP sulla propria interfaccia cablata verrà modificato.

Aggiunta di un gateway predefinito

Se c'è un gateway predefinito è necessario specificare, possiamo fare anche quello. Supponendo che il gateway è 192.168.1.1, dovremmo modificare il comando sopra per leggere:

netsh interface ip set di indirizzo locale 192.168.1.10 statico 192.168.1.1 255.255.255.0 1

Specificando un server DNS

Se è necessario specificare i server DNS, avremo bisogno di aggiungere alcune righe in più per il file batch. Costruiamo su l'ultimo esempio e supponiamo di avere due server DNS, uno a 10.1.1.1 e un altro a 172.30.1.10. In questo caso il nostro file batch dovrebbe contenere i seguenti elementi:

netsh interface ip set di indirizzo locale 192.168.1.10 statico 192.168.1.1 255.255.255.0 1
netsh interface ip set dns locale 10.1.1.1 statica
netsh interface ip set dns locale 172.30.1.10 statica

Di ritornare alla DHCP

Aprite un editor di testo e creare un file denominato reset-dhcp.bat. Il file conterrà solo una sola riga:

netsh interface ip set di indirizzo locale dhcp

Ora salvate il file e creare un collegamento sul desktop che punta ad esso. Quando mai si fa doppio clic sull'icona, Windows cercherà di un server DHCP locale per le informazioni IP che utilizzerà.

Che cosa se uso più indirizzi IP?

L'esempio sopra grandi opere a condizione di utilizzare sempre lo stesso indirizzo IP. Che cosa succede se hai bisogno di flessibilità un po 'di più per cambiare al volo? Per fortuna siamo in grado di gestire il problema attraverso l'utilizzo di variabili.

Aprite un editor di testo e creare un file denominato varip.bat. Il file conterrà solo una sola riga:

netsh interface ip set di indirizzo locale 1% statico 255.255.255.0

Ora salvate il file in una directory nell'istruzione di percorso. La directory di Windows stesso di solito è una buona opzione ultimo disperato. Se non si sa quale directory sono nel percorso, è sufficiente aprire un prompt dei comandi e digitare il "percorso" di comando. Questo produrrà un punto e virgola (;) elenco separato di tutte le directory nel path. Questo suggerimento non funziona se il file non viene salvato in una directory nell'istruzione di percorso.
Ogni volta che è necessario impostare il tuo indirizzo IP è sufficiente fare clic su Start -> Esegui e digitare:

varip 192.168.50.25

o che cosa mai l'indirizzo IP che si desidera utilizzare. Se normalmente devono modificare la subnet mask, modificare il comando di leggere:

netsh interface impostare indirizzo ip statico locale% 1% 2
Ora, quando si fa clic su Start -> Esegui digitare:

varip 192.168.50.25 255.255.255.128

o qualsiasi altro indirizzo IP / subnet mask combinazione che si desidera utilizzare.

Executive Summary

Mentre l'interfaccia grafica di Windows è relativamente facile da navigare, può essere ingombrante per le attività comuni, come cambiare l'indirizzo IP o le impostazioni del firewall. Questo può essere facilmente corretti creando un file batch pochi e l'immissione delle scorciatoie sul desktop.

1 commento »

Pubblicato in 4-preavviso , Windows Security

Tags:

Rendere il Web un posto più sicuro con NoScript

24 Luglio 2009

Ieri stavo rivedendo le statistiche per questo sito e sono rimasto piacevolmente sorpreso di vedere che il 70% + di tutti i visitatori utilizzano il browser Firefox. In un post precedente ho discusso Che cosa rende un sistema vulnerabile e lo ha definito come quando abbiamo permesso agli utenti remoti di interagire con il codice in esecuzione sul sistema locale. Firefox ha un'estensione eccellente di sicurezza chiamata NoScript che può ridurre drasticamente questo vettore di esposizione.

La premessa di NoScript è così rudimentale, bisogna chiedersi perché ogni produttore del browser non rende questa funzionalità dotato di un opzione. NoScript consente di controllare quali siti è possibile eseguire codice sul sistema. La sua semplice. Quindi, semplicemente navigando su un sito Web non è più immediatamente significa che vi fidate abbastanza da eseguire programmi (Java, Flash, ecc) sul desktop. NoScript è flessibile, relativamente discreto, e un "must have" estensione per restare al sicuro su Internet.

Come NoScript

Il modo più semplice per recuperare e installare NoScript è proprio attraverso la finestra Add-ons di Firefox. Basta cliccare su "Strumenti" dalla barra del menu principale e selezionare "Add-ons" dal menu a discesa. Quando i componenti aggiuntivi finestra, fare clic su "Get Add-ons" pulsante in alto a sinistra della finestra. Se non vedi NoScript menzionati nella lista "Consigliato", cliccare su "Sfoglia tutti gli Add-ons" link in alto a destra dello schermo.

Cliccando il link apra una nuova scheda di Firefox indicazioni per l'add-on Firefox sito. Nel tipo di barra di ricerca in "NoScript". NoScript quando appare nei risultati, fare clic sul pulsante "Aggiungi a Firefox". Quando l'installazione è completa è sufficiente riavviare il browser Firefox. Ora siete pronti per la navigazione web più sicura. Quando saranno disponibili nuovi aggiornamenti sarete avvisati automaticamente.

Utilizzando NoScript

Quando si inizia a usare NoScript può sembrare che molti dei vostri siti Web preferiti sono rotti. Flash video non sarà più auto-caricamento, menu a discesa potrebbe non riuscire, ecc Date un'occhiata alla parte inferiore della finestra di Firefox. Vedrete un output simile alla Figura # 1. NoScript ci sta dicendo che tutti l'esecuzione dello script è attualmente disattivata per questo sito. Il sito ha cercato di eseguire gli script di 12 e ci sono stati 0 oggetti incorporati (come cornici la visualizzazione di testo o video da altri siti). Per modificare questo comportamento è sufficiente cliccare su "Opzioni ..." pulsante.

noscript-status

Cliccando su "Opzioni ..." produrrà un menu simile alla figura # 2. Le informazioni relative a questo sito specifico è nella parte inferiore del menu. NoScript ci sta dicendo che il sito ha cercato di eseguire gli script di quattro ambiti diversi; mmismm.com, revsci.net, com.com e cnet.com. Ci sono due possibilità per ogni dominio, lasciate gli script da quel dominio correre solo per questa sessione (temporaneamente), o permettere che il dominio di eseguire script per questo e per le sessioni future come pure (Consenti).

noscript-options

Mmismm.com e revsci.net sono aziende pubblicitarie. Essi hanno anche un rating povera fiducia attraverso il Web of Trust (WOT è un altro plug-in di Firefox fresco tra l'altro) in modo da avere voglia di uscire script da questi domini disabili. I restanti due domini fanno parte di CNET. Quindi, se si desidera visualizzare notizie e gli articoli di questa azienda che si intende concedere l'accesso. Nota questa non dovrebbe essere automatica comunque. Per esempio questo menu è stata generata, mentre stavo visitando il sito di news CNET . Ero ancora in grado di visualizzare tutti i contenuti mi interessava molto bene, quindi davvero non c'è ragione di permettere uno qualsiasi di questi domini per eseguire script ed espormi al potenziale attacco.

Se lo fai consentire l'esecuzione di script da alcuni settori, Firefox automaticamente ricaricare la pagina ed eseguire gli script consentito. Avrete ora notare che la barra di stato NoScript ora appare più come figura # 3. NoScript ci sta dicendo che il sito che abbiamo visitato provato a eseguire gli script da sei domini diversi, ma solo quattro di loro erano permesse. I domini autorizzati a eseguire gli script vengono poi elencati per noi da rivedere. Ci sono stati 69 gli script totale e zero oggetto incorporato.

noscript-status2

Se noi poi decidere un sito non è così affidabile, è facile per revocare le autorizzazioni. Se siamo al sito in questione, è sufficiente fare clic su "Opzioni ..." e selezionare la voce "Forbid" menu per tale dominio. Se non siamo attualmente la consultazione del sito, vai alla parte superiore del menu e selezionare "Opzioni ..." (seconda apparizione di questo titolo). Fare clic sulla scheda "Whitelist", scorrere l'elenco per trovare il sito in questione, e fare clic su Rimuovi selezionati "pulsante Siti.. Problema risolto.

Una volta che avete usato NoScript per un po 'e desiderio di entrare in alcune delle opzioni più avanzate, il sito di NoScript contiene delle informazioni eccellente. Inizia con la FAQ e poi passare al forum. Se si trova NoScript consente di risparmiare anche una sola volta da un attacco, può valere la pena fare clic sul pulsante "Donate" in alto della pagina principale. ;)

Nessun commento »

Pubblicato in 4-preavviso , Sicurezza Generale

Tags:

Perché Firewall Rifiuta Le regole sono regole Better Than goccia Firewall

23 luglio 2009

Maggior parte dei firewall sono pre-configurati per cadere tranquillamente il traffico piuttosto che respingerla. Ma qual è la differenza tra i due ed è veramente meglio far cadere invece di rifiutare? Se non avete mai dato molta attenzione a questa domanda, la risposta potrebbe sorprendervi.

Firewall opzioni di controllo del traffico

I firewall di solito si danno tre opzioni quando si interagisce con il traffico, questi sono:

  • Accettare - Lasciate che il passaggio del traffico attraverso
  • Drop - Rimuovere il pacchetto dal filo e non produce alcuna pacchetto di errore
  • Rifiuta - Rimuovere il pacchetto dal filo e restituisce un ICMP "Comunicazione negato" (ICMP di tipo 3, codice 13) pacchetto di errore

Alcuni firewall sono personalizzabili quando si tratta di rifiutare il pacchetto che viene restituito. Per esempio Netfilter fornisce opzioni di fare il look come il suo porto chiuso al tar pitting la connessione. Ai fini di questo post mi bastone con solo il messaggio negato dato che è il più diffuso.

Cosa succede quando si porta la scansione di un sistema

Un utente malintenzionato in grado di identificare le porte aperte rispetto a un sistema chiuso perché ognuno risponde in modo diverso ad un pacchetto di stimolo. Quando si invia un TCP SYN pacchetti ad un sistema, una delle seguenti sta per verificarsi:

  • Se la porta è aprire un TCP SYN / ACK verrà restituito
  • Se la porta è chiusa un TCP RST / ACK verrà restituito

Quindi, se un SYN / ACK viene restituito, so che la porta è aperta. Se un RST (reset) / ACK viene restituito, so che la porta è chiusa.

Ora espandere questa verso il livello di Internet e alcune altre possibilità che entrano in gioco:

  • Se l'host è off-line un host non raggiungibile ICMP sarà restituito dal router a monte
  • Se la rete l'host è collegato a è off-line, una rete ICMP irraggiungibile verrà restituito dal router a monte
  • Se un router o un firewall con un rifiuto regola blocca la connessione, un errore negato verrà restituito
  • Se la porta è protetta da un firewall con una regola goccia, nulla viene restituito

Si noti che i suoi ultimi due possibilità che coinvolgono il controllo del traffico. Se lasciamo cadere il traffico, nulla viene restituito allo scanner. Se rifiutiamo, poi un errore ICMP viene restituito.

Il mito di stealthing il firewall

I venditori favore le regole calo per due motivi, che sono entrambi errati. Il primo è la caduta del traffico aiuta a "stealth" del firewall. Il concetto è che, poiché il firewall sta tornando dati, un utente malintenzionato sarà in grado di determinare avete un firewall. Guarda le opzioni di risposta sopra di nuovo. L'unica volta che viene restituito nulla di consistente si ha quando un firewall con una regola caduta è nel modo. Così facendo cadere il traffico non si è stealthing il firewall, lo si sta pubblicità. Questo è il motivo per strumenti come nmap effettivamente la sonda rapporto come "filtrati" quando niente ritorna.

Quando ho affrontato i venditori con questo fatto, la risposta è "Huh?" O "Ancora non si conosce l'indirizzo IP del vostro firewall, quindi la sua ancora stealth". La seconda affermazione è solo parzialmente vero che un utente malintenzionato deve effettuare il passaggio aggiuntivo di gestione di un strumento come tcptraceroute per determinare l'indirizzo IP del firewall.

Così il concetto di essere in grado di furtività un dispositivo che interagisce con il flusso del traffico è un mito completo. La corrispondenza più vicina è probabilmente la capacità di respingere Netfilter tramite messaggi di host non raggiungibile. Anche se questo non nasconde l'indirizzo IP del firewall, che fa il firewall più simile a un router e aiutano a mascherare la segmentazione della rete alle sue spalle.

Il mito della usando meno larghezza di banda

La seconda ragione venditori favore regole goccia è che pensano che genera meno traffico sul filo. Questo ha un senso logico a meno che non si capisce come TCP / IP comunica. In altre parole, sulla superficie questa affermazione sembra razionale. Tenere gli errori ICMP dalla rete e si utilizza meno banda. La realtà è però che il protocollo TCP Cerca di essere affidabile. Ciò significa che quando il pacchetto prima sonda è tranquillamente abbandonato, la fonte sta per inviare due, forse quattro pacchetti di più per riprovare. Se si sommano i bit sul filo, in realtà si finisce per utilizzare una larghezza di banda quando si forza la fonte in modalità ritrasmissione.

Che cosa significano le RFC dicono?

Quindi qual è il metodo RFC legale, cadute o rifiutare? Se noi di riferimento RFC 1122 dice: 

  3.3.8 Segnalazione errori

          Ove possibile, gli host deve restituire datagrammi ICMP per errore
          rilevamento di un errore, tranne nei casi in cui la restituzione di un
          Messaggio di errore ICMP è espressamente vietato.

"In particolare proibito" si riferisce al fatto che non si dovrebbe mai rispondere ad un pacchetto di errore con un altro pacchetto di errore. Il suo solo troppo facile per creare loop infiniti. Quindi, se siamo divieto flusso del traffico siamo supponiamo di essere restituendo un messaggio di errore ICMP.

Effettuare la gamma di IP spoofing meno attraenti per gli

Uno dei maggiori problemi con l'utilizzo di regole goccia è che fate il vostro range di IP più attraente per lo spoofing. Si consideri il tipico attacco SYN flood cui un utente malintenzionato tenta di riempire un server coda di connessione TCP in modo che le richieste di connessione legittime non può essere riparato. L'attaccante invaderanno il bersaglio con richieste di connessione TCP, di solito da host zombie multipli. Dal momento che l'attaccante non ha alcuna intenzione di completare i tre stretta di mano di pacchetti TCP, l'indirizzo IP sorgente è falso per proteggere la vera identità di zombie.

Se un utente malintenzionato lo spoofing uno dei tuoi indirizzi IP come parte della loro SYN flood, si vedrà il server sotto attacco non richiesti inviare pacchetti SYN / ACK all'indirizzo IP spoofing. Questo non è il server di attaccare la rete, è semplicemente il server che risponde a una richiesta di connessione e non ha idea l'indirizzo IP sorgente è stato falsificato.

OK, torniamo alle opzioni di scansione sopra elencati e la combinano con la configurazione della rete per vedere quale impatto si avrà sulla capacità dell'attaccante di eseguire un successo attacco SYN flood. Se l'indirizzo IP spoofing è che sono:

  • Exposed Host = RST / ACK restituiti, coda di connessione cancellati sul server in circa 50 ms.
  • Host off-line = monte host non raggiungibile router ritorna in circa 3 secondi
  • Rete off-line = router a monte torna irraggiungibile rete in circa 50 ms
  • Reject rule = Firewall/router returns Administratively prohibited message in approximately 50 ms
  • Drop rule = Server under attack attempts to respond for 30 seconds or more

The anatomy of a SYN flood

There are two metrics that come into play in making a SYN flood successful. The first is how many SYN packets can the attacker spoof per second. Questo parametro sarà determinato dalle dimensioni esercito di zombie dell'attaccante. The second metric however, is something you have control of. That is “How long will each spoofed connection request tie up memory in the server's connection queue?”.

As you can see in the above responses, when an attacker spoofs an IP address protected by a firewall drop rule, the bogus connection request ties up the server's connection queue for the greatest amount of time. So let's say the attacker wants to tie up one connection slot worth of memory for 60 seconds. That would take two spoofed packets protected by a firewall drop rule, or 1,200 spoofed packets if each spoofed IP is protected by a firewall reject rule. So spoofing dropped source IPs means the attacker requires fewer SYN packets per second in order to perform a successful attack. By deploying a drop rule you are inadvertently helping the attacker and making your address space more attractive to IP address spoofing.

Exec Summary

Using drop rules to prevent traffic flow is widely deployed. This author feels this has more to do with “everyone following the herd” than with a drop implementation truly being a better security posture than using reject rules. Reject rules are more RFC compliant, generate less traffic on the wire, and make your address space less attractive for IP address spoofing.

Cheers!

C

3 commenti »

Posted in 4-notice , Network Security

Tags:

Uber Geek Your Windows Laptop

July 12th, 2009

Thought some folks might find this useful. I've noticed that over the last few years working with the Windows command line has become a bit of a lost art. This is too bad as you can do some really cool stuff. This instructional is geared towards those folks that do not know the power of working from “the dark place”. There are general tips for setup, how to perform common task, common error codes and how to resolve them, as well as batch file basics.

This is relatively low level material, but IMHO its a great primer for those who have not spent a lot of time working at the command line.

Buon divertimento!

C

Uber Geek Your Windows Laptop

Nessun commento »

Posted in 4-notice , Windows Security

Tags:

TIC article on Networkworld

July 10th, 2009

Networkworld has an article on the DDoS attacks that appears to be originating out of North Korea. Here's a link to it . The jist of the article is that the DDoS attacks were worse than they should have been because security folks did not know what ISP they were using. The claim was that if the government would hurry up and implement the Trusted Internet Connect (TIC) program , these problems would be a thing of the past.

First a little background, TIC is an effort to reduce the number of connections to the Internet maintained by federal, state and military networks. In 2006 there was somewhere in the neighborhood of 4,500 connections (at the time I was involved no one knew for sure exactly how many connections there were). The original goal was to reduce this to 50 connections. Last I heard the goal was 113. Expect it to float around in this ballpark for a while. Currently they've been able to eliminate about 25% of the connections.

There are many reasons why this is a good idea. Single point of security implementation, consolidation of resources, a more uniform implementation of security policy, just to name a few. There are many reasons why this is also a bad idea, one of which is the mitigation of DDoS attacks like the one described in the article.

Look at it this way, if I take 100 Internet connections and consolidate it into 1, I'm not going to implement a single link with 100X bandwidth (30 Gb is about the max we can push today anyway and running at that level severely limits your security product options). I'm going to do the same thing ISPs do, over subscribe the link. Since it is unlikely everyone will try and access the Internet at the same time, normally this works just fine. The problem occurs when a DDoS attack takes place as now there is less bandwidth that needs to be saturated in order for the DoS to be successful. It also means that a greater number of sites will be affected. So I would argue that TIC has the potential to make this problem worse, not better.

But let's try and look at the true root cause of all of this. They quote Alan Paller as saying they could not get the ISP to filter the traffic. The author states this is because they didn't know which ISP to contact. Huh? How about a whois query on the address space? Traceroute? Check the monthly bill? Direct ARIN query? I find it hard to believe that a staff of security folks would sit around staring at each other with no idea how to figure out who their ISP is. More likely the ISP did not want to take responsibility for filtering the traffic. I know I've run into that problem dozens of times over my career.

Its also possible that this was a pretty low priority. Think about it. The attack started on July 4th. Think back to that day. Were you out enjoying sun and family or thinking “Humm, I wonder if the Federal Trade Commission posted anything today on the state of the economy. OMG I'm financially ruined, I can't get to their Web site!”? :) My guess is the former. This is/was a relatively lame attack which was easily mitigated by Monday morning, when access to the site actually had some value. For anyone who's taken one of my classes, you know I'm fond of saying “Its OK to accept risk provided its an informed decision”. I can see someone making a business decision that it was better to get it working by Monday morning than to spend time, resources and tax dollars on recovering the site during a time period when it would see little use.

So it remains to be seen if TIC will make the DDoS problem better or worse. What would certainly help is a good SLA written into the contract requiring the ISP to respond to these types of attacks.

May the bits be with you,

C

Nessun commento »

Posted in 4-notice , Network Security

Tags: