Прокси сервер

Anatoly Sablin написал(а) к All в May 18 16:20:47 по местному времени:

Forwarding message from Outgoing.
Originally by: Anatoly Sablin, 2:5020/2140.704
Original date: 13.05.2018 16:11
Subject: Прокси сервер
*

Нello, Alexey Shilov.
On 13.05.2018 10:52 you wrote:

AS>> Поздравляю, твоя файлопомойка открыта для любого желающего. Ты же
AS>> понимаешь, что из-за того, что ftp ничего не шифрует, пароль и
AS>> логин передаются открытым текстом, и любой желающий может
AS>> перехватить их и получить доступ к хранилищу.
AS> Для тех у кого есть айпишник этой файлопомойки.

Просто включить сниффер, а как поймаешь ftp-пакет, то из него узнаешь адрес файлопомойки. Далее ждём, когда хозяин отправит логин/пароль, и получает все данные для того, чтобы зайти туда.

Можно написать скрипт, который будет собирать логины/пароли и адреса.

AS>> У тебя, надеюсь, пароль для ftp уникальный и нигде больше не
AS>> используется?
AS> Конечно. Я не совсем дебил.

Ммм... Ну ладно, без комментариев. :-)

AS>> Имея доступ к хранилищу (так как перехватить не зашифрованные
AS>> логин/пароль не то, чтобы легко, достаточно запустить любой
AS>> сниффер), можно залить зловред, или подменить файл версией с
AS>> майнером/зловредом, или залить cp, или ещё что-нибудь сделать.
AS> Так доступ только у меня.

Выше написал, что это пока доступ есть у тебя и/или ты не знаешь, у кого он ещё есть. Доступ в ftp заполучить не проблема (мы же помним, что там всё передаётся открытым текстом, в том числе пароль, логин и адрес). А дальше использовать твою файлопомойку как перевалочную базу для ботнет-сети. Когда придёт товарищ майор, будет сложно объяснять ему, что это не твоя сеть, и что ты её не используешь.

AS>> И кто-то может получить доступ туда.
AS> Если знать, что там что-то есть.

Зайти и посмотреть не проблема.

AS>> У тебя наружу открыт целый диапазон портов?
AS> Только один порт.

FTP в пассивном или активном режиме работает?

AS>> Начни заливать и на отметке 25гб убей закачку. А потом продолжи
AS>> заливку последних двух гигов, не заливая заново залитые данные.
AS> Мне лень :)

Хозяин-барин. :-)

--
Best regards!
Posted using Нotdoged on Android

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Victor Sudakov написал(а) к Anatoly Sablin в May 18 23:36:26 по местному времени:

Dear Anatoly,

13 May 18 16:20, you wrote to All:

AS> Просто включить сниффер, а как поймаешь ftp-пакет, то из него узнаешь
AS> адрес файлопомойки. Далее ждём, когда хозяин отправит логин/пароль, и
AS> получает все данные для того, чтобы зайти туда.

Справедливости ради, в FTP давно уже есть поддержка AUTН TLS.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Anatoly Sablin написал(а) к Victor Sudakov в May 18 20:20:14 по местному времени:

Нello, Victor Sudakov.
On 13.05.2018 23:36 you wrote:

AS>> Просто включить сниффер, а как поймаешь ftp-пакет, то из него
AS>> узнаешь адрес файлопомойки. Далее ждём, когда хозяин отправит
AS>> логин/пароль, и получает все данные для того, чтобы зайти туда.
VS> Справедливости ради, в FTP давно уже есть поддержка AUTН TLS.

Так как ftp использует два порта (один для команд, второй для данных), то nat-ы и firewall-ы вытаскивают номер порта для данных из контрольных данных. Если соединение шифруется, то достать не получается, а следовательно для работы ftps нужно совершать дополнительные пассы руками (удобство? Нет, не слышали), чтобы завести всё.

У тебя, конечно же, используется ftps?

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Victor Sudakov написал(а) к Anatoly Sablin в May 18 02:04:22 по местному времени:

Dear Anatoly,

13 May 18 20:20, you wrote to me:

AS>>> Просто включить сниффер, а как поймаешь ftp-пакет, то из него
AS>>> узнаешь адрес файлопомойки. Далее ждём, когда хозяин отправит
AS>>> логин/пароль, и получает все данные для того, чтобы зайти туда.
VS>> Справедливости ради, в FTP давно уже есть поддержка AUTН TLS.

AS> Так как ftp использует два порта (один для команд, второй для данных),
AS> то nat-ы и firewall-ы вытаскивают номер порта для данных из
AS> контрольных данных. Если соединение шифруется, то достать не
AS> получается,

Всё там получается.

AS> а следовательно для работы ftps нужно совершать
AS> дополнительные пассы руками (удобство? Нет, не слышали), чтобы завести
AS> всё.

Ты ошибаешься, в AUTН TLS шифруется только логин/пароль, а не control connection целиком. На команды PORT, PASV и др. nat-ы и firewall-ы могут глядеть сколько им угодно.

Впрочем видел я где-то ftp-клиент и сервер с поддержкой Kerberos, вот там действительно была жесть: шифровались все команды. Видимо потому и не прижилось.

AS> У тебя, конечно же, используется ftps?

На моих серверах AUTН TLS всегда включен (правда сертификат используется самоподписанный). Если кто-то из пользователей использует клиент без поддержки AUTН TLS, то он ССЗБ. Сам я разумеется хожу через AUTН TLS (мой любимый клиент - lftp).

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Anatoly Sablin написал(а) к Victor Sudakov в May 18 07:11:42 по местному времени:

Нello, Victor Sudakov.
On 14.05.2018 2:04 you wrote:

AS>> а следовательно для работы ftps нужно совершать дополнительные
AS>> пассы руками (удобство? Нет, не слышали), чтобы завести всё.
VS> Ты ошибаешься, в AUTН TLS шифруется только логин/пароль, а не
VS> control connection целиком. На команды PORT, PASV и др. nat-ы и
VS> firewall-ы могут глядеть сколько им угодно.

https://tools.ietf.org/html/rfc2228 (FTP Security Extensions):

If unprotected commands are allowed on any connection, then an attacker could insert a command on the control stream, and the server would have no way to know that it was invalid. In order to prevent such attacks, once a security data exchange completes successfully, if the security mechanism supports integrity, then integrity (via the MIC or ENC command, and 631 or 632 reply) must be used, until the CCC command is issued to enable non-integrity protected control channel messages. The CCC command itself must be integrity protected.

Стандарт требует, чтобы после установления безопасного соединения все команды шифровались, а не передавались открытым текстом (по той же причине, зачем и нужен AUTН TLS - ради безопасности).

По поводу команды CCC, оттуда же предыдущий абзац:

It is desirable in some environments to use a security mechanism to authenticate and/or authorize the client and server, but not to perform any integrity checking on the subsequent commands. This might be used in an environment where IP security is in place, insuring that the hosts are authenticated and that TCP streams cannot be tampered, but where user authentication is desired.

То есть отключение шифрования для команд может быть обоснованно только для безопасной среды. Если торчит ftps наружу, то данный вариант не подходит и нельзя использовать этот вариант.

VS> Впрочем видел я где-то ftp-клиент и сервер с поддержкой Kerberos,
VS> вот там действительно была жесть: шифровались все команды. Видимо
VS> потому и не прижилось.
AS>> У тебя, конечно же, используется ftps?
VS> На моих серверах AUTН TLS всегда включен (правда сертификат
VS> используется самоподписанный). Если кто-то из пользователей
VS> использует клиент без поддержки AUTН TLS, то он ССЗБ. Сам я
VS> разумеется хожу через AUTН TLS (мой любимый клиент - lftp).

Тау получается, что у тебя командный режим шифруется (в соответствии с rfc2228).

В таком случае, в чём преимущество перед тем же sftp?

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Victor Sudakov написал(а) к Anatoly Sablin в May 18 12:28:06 по местному времени:

Dear Anatoly,

14 May 18 07:11, you wrote to me:

AS>>> а следовательно для работы ftps нужно совершать дополнительные
AS>>> пассы руками (удобство? Нет, не слышали), чтобы завести всё.
VS>> Ты ошибаешься, в AUTН TLS шифруется только логин/пароль, а не
VS>> control connection целиком. На команды PORT, PASV и др. nat-ы и
VS>> firewall-ы могут глядеть сколько им угодно.

AS> https://tools.ietf.org/html/rfc2228 (FTP Security Extensions):

RFC4217 посвежее будет.

[dd]

AS> То есть отключение шифрования для команд может быть обоснованно только
AS> для безопасной среды. Если торчит ftps наружу, то данный вариант не
AS> подходит и нельзя использовать этот вариант.

VS>> Впрочем видел я где-то ftp-клиент и сервер с поддержкой Kerberos,
VS>> вот там действительно была жесть: шифровались все команды. Видимо
VS>> потому и не прижилось.
AS>>> У тебя, конечно же, используется ftps?
VS>> На моих серверах AUTН TLS всегда включен (правда сертификат
VS>> используется самоподписанный). Если кто-то из пользователей
VS>> использует клиент без поддержки AUTН TLS, то он ССЗБ. Сам я
VS>> разумеется хожу через AUTН TLS (мой любимый клиент - lftp).

AS> Тау получается, что у тебя командный режим шифруется (в соответствии с
AS> rfc2228).

Нет, он не полностью шифруется. Могу показать tcpdump, если не веришь. Да собственно вот: http://termbin.com/krml

Но оказывается клиент может управлять этим, посылая или не посылая команду CCC. Мой посылает.

AS> В таком случае, в чём преимущество перед тем же sftp?

Ну, например нагрузка на сервер меньше, не нужно толстые файлы криптовать, достаточно сделать sendfile(). И настройки специально заточенных FTP серверов гораздо гибче, чем у достаточно рудиментарного sftp-server.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Anatoly Sablin написал(а) к All в May 18 21:21:22 по местному времени:

Forwarding message from Outgoing.
Originally by: Anatoly Sablin, 2:5020/2140.704
Original date: 14.05.2018 21:20
Subject: Прокси сервер
*

Нello, Sergey Chudaev.
On 14.05.2018 20:39 you wrote:

SC>>>>> Здрасьте. Хочу странного - сабж под андройд. Есть? ...
AS>>>> Нет. Если и написать такой, то будет два выхода: либо криво
AS>>>> работать, либо батарея будет жить пару часов. Причина в том,
AS>>>> что сервер должен всё время висеть на порту и ждать
AS>>>> соединения. По-умолчанию, ОС так не позволит сделать и сразу
AS>>>> же убьёт процесс (тот же doze или вытеснение приложений).
AS>>>> Если добавить приложение в белый список, чтобы никто не
AS>>>> прибил его и запретить выгружать из ОЗУ (как?), то будет
AS>>>> съедать батарею в момент.
SC>>> И еще добавлю - устройства на андроиде не только телефоны и
SC>>> планшеты, но и всяческие тв-боксы стационарные.
AS>> Изначально Android разрабатывается как мобильная ОС, и все
AS>> оптимизации идут с учётом автономной работы. В частности, из-за
AS>> этого в f-droid и appstore нет таких приложений, потому что они
AS>> не нужны на автономной мобилке и не будут корректно работать.
SC> Фтп сервер я скачивал с ф-дройда. И андройд не равно работа от
SC> аккумулятора.

Андроид разрабатывался под мобильные устройства изначально. И многие оптимизации туда вносят, чтобы увеличить работу на мобильных системах. Это потом решили его пихать куда ни попадя.
AS>> Если есть желание запустить сабж, то могу только посоветовать
AS>> поискать на xda (а вдруг найдётся?), либо написать самому (и
AS>> огрести кучу проблем).
SC> Ну если так - то придется собирать под армв7 (ни разу не пробовал)
SC> и как-то запускать чтобы не прихлопнулость.

Можно собрать приложение под ndk, но всё равно придётся писать Activity под джавой, чтобы запустить нативный код.

SC> Андройд не обязательно на акб и не обязательно ява. (Су - эльф) Я
SC> миднайт коммандер ради прикола запускал.

mc в терминале, который написан на java? ;-)

--
Best regards!
Posted using Нotdoged on Android

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Victor Sudakov написал(а) к Anatoly Sablin в May 18 09:07:10 по местному времени:

Dear Anatoly,

14 May 18 12:28, I wrote to you:

AS>> Тау получается, что у тебя командный режим шифруется (в
AS>> соответствии с rfc2228).

VS> Нет, он не полностью шифруется. Могу показать tcpdump, если не веришь.
VS> Да собственно вот: http://termbin.com/krml

VS> Но оказывается клиент может управлять этим, посылая или не посылая
VS> команду CCC. Мой посылает.

Я не поленился описать вопрос на https://victor-sudakov.livejournal.com/413040.html
Критика принимается в комментах.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Anatoly Sablin написал(а) к All в May 18 08:07:00 по местному времени:

Forwarding message from Outgoing.
Originally by: Anatoly Sablin, 2:5020/2140.704
Original date: 17.05.2018 8:05
Subject: Прокси сервер
*

Нello, Oleg Redut.
On 16.05.2018 7:54 you wrote:

OR>>> На каком этапе он перехватит? На уровне моей локалки,
OR>>> провайдера или хостера?
OR> [...]
AS>> Если используется ftp (не ftps), то при установки соединения, т.
AS>> к. ftp ничего не шифрует, а передаёт открытым текстом.
OR> На пальцах можно? Я устанавливаю соединение, скажем из дома,
OR> на рабочий фтп. Кто перехватит? Провайдер? Или сосед по площадке?
OR> Или Вася из Китая?
OR> А если со смартфона? На какой БС пакеты ловить?

На любом транзитном маршруте.

История из вторых (или первых) рук: пару лет назад ради интереса знакомые поставили windows xp и дали ему белый ip. Естественно встроенный firewall был включён. То есть установили венду, поставили последние обновления и включили firewall. Больше ничего не делали, никуда не заходили. В итоге через два-три часа система ушла вsod и больше не смогла загрузиться, потому что была полна коробочка вирусов. Хотя казалось бы, активности со стороны системы никакой.

Это к тому, что не надо недооценивать изобретательность людей. Можно сниффить транзитный трафик, можно присосаться к магистралям, можно через бот-сети.

Все меры безопасности взяты не с потолка, и игнорирование их может привести к печальным посоедствиям.

Конечно же, в итоге как и что делать решать тебе и только тебе отвечать за последствия.

P.S.: уже пошёл какой-то оффтоп, мало связанный с линуксом. Поэтому предлагаю завершить дискуссию. Ты узнал моё мнения, я твоё. :-)

--
Best regards!
Posted using Нotdoged on Android

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android