Squid подвержен remote DOS

Re: Squid подвержен remote DOS

>Атакующий может вызвать крах прокси-сервера, послав единственный UDP пакет.

Уууууу... Вот кулхацкерам раздолье!

Selecter (14.10.2004 15:54:39)

Re: Squid подвержен remote DOS

спасибо Sun-ch

Re: Squid подвержен remote DOS

А нечего на внешнем интерфейсе к нему доступ раздавать. И snmp прикрыть фильтром, открыв для хоста админа исключительно. Так что, фигня. :))

Re: Squid подвержен remote DOS

Саныч, признавайся -- у тебя много сквидов со включенным snmp? А не прикрытых файрволом?

Zulu (14.10.2004 16:03:58)

Re: Re: Squid подвержен remote DOS

Антон, тебе задание: найти squid с доступным snmp.

chucha (14.10.2004 16:06:16)

Re: Squid подвержен remote DOS

Положили? Надо было ставить Слаку!

Re: Re: Squid подвержен remote DOS

а смысл?

Re: Re: Squid подвержен remote DOS

Я чё то затупил.

Во всех конфигах такие строчки

acl snmppublic snmp_community public
acl snmpjoebloggs snmp_community joebloggs

Я так понимаю, что snmp у меня держит какой Джоеблогс, ну и фамилия :)

Кто это такой, может кто знает?

Sun-ch (14.10.2004 16:20:47)

Re: Re: Re: Squid подвержен remote DOS

это Карабас-Барабас, только компьютерный:-)

Re: Re: Re: Squid подвержен remote DOS

Саныч, не бери разную херню в голову, Работает -- не трогай (с)... ;)

Re: Re: Re: Squid подвержен remote DOS

>> snmp у меня держит какой Джоеблогс

Список доступа. Действительно, можешь его хоть KarabasBarabas его назвать.

Re: Squid подвержен remote DOS

squid-2.5.STABLE7 все поправлено, а вышел он 3 дня назад

W (14.10.2004 16:39:47)

Re: Squid подвержен remote DOS

Но хватает перечитать дефолтный конфиг и перерыть сначала все руками 1 раз - столько всякой фигни выкидывается.

moonflyer (14.10.2004 17:27:19)

Squid подвержен не только remote DOS

Привет,
хорошая статья была (руководство для начинающего web-hackera)
http://www.sanctuminc.com/pdf/WhitePaper_HTTPResponse.pdf
Там есть параграф
"Cache Poisoning with Squid 2.4 - Practical Considerations"
Интересно, починили ли они это в Squid 2.5 Stable?

Regards. Марк Ковкин

Re: Squid подвержен remote DOS

<offtopic> Вопрос к админам: зачем использовать какие-то сквиды, когда есть IP Masquerading? </offtopic>

Re: Re: Squid подвержен remote DOS

>зачем использовать какие-то сквиды, когда есть IP Masquerading?

функциональность прокси и NAT мало пересекаются. читай доки =)

geek (14.10.2004 18:06:51)

Re: Re: Squid подвержен remote DOS

> Вопрос к админам: зачем использовать какие-то сквиды, когда есть IP Masquerading?

Это глупый вопрос!

phicus (14.10.2004 18:24:15)

Re: Re: Re: Squid подвержен remote DOS

Точнее, прокси в себя включет всю функциональность по переадресации пакетов :-)

NAT - некэширующий пркси с широчайшими возможностями
squid - кэширующий прокси для ограниченного набора протоколов (если извращениями не заниматься).
:-)

AS (14.10.2004 18:37:11)

Re: Re: Re: Re: Squid подвержен remote DOS

>Точнее, прокси в себя включет всю функциональность по переадресации пакетов :-)

не всю =)

geek (14.10.2004 18:40:37)

Re: Squid подвержен remote DOS

>> Точнее, прокси в себя включет всю функциональность по переадресации
>> пакетов :-)

> не всю =)

Всю. На то он и абстрактный прокси. :-)
А дальше пошли уже конкретные реализации с конкретными названиями и возможностями. ;-)

AS (14.10.2004 19:08:15)

Re: Squid подвержен remote DOS

А что НАТ кэширует файлы?

svs (14.10.2004 19:08:17)

Re: Re: Squid подвержен remote DOS

>А что НАТ кэширует файлы?

а где я такое сказал?

geek (14.10.2004 19:44:35)

Re: Re: Squid подвержен remote DOS

>Всю. На то он и абстрактный прокси. :-)

не надо меня на слове ловить =)

посмотри на топик =)

geek (14.10.2004 19:45:18)

Re: Squid подвержен remote MSDOS

SNMP не нужен

Re: Re: Squid подвержен remote DOS

>Вопрос к админам: зачем использовать какие-то сквиды, когда есть IP Masquerading?

А кэшировать, рекламу и порнушку фильтровать? А отчеты по юзерам и пользованию Инетом получать? Или у Вас халявный Инет, юзеры чего хотят, то и творят?

Зачем НАТ? Можно абсолютно все сделать и без него через разного рода прокси и туннели...

Re: Re: Re: Squid подвержен remote DOS

Кэшировать порнушку и фильтровать рекламу...

phicus (14.10.2004 22:19:20)

Re: Re: Squid подвержен remote DOS

> И snmp прикрыть фильтром, открыв для хоста админа исключительно

учитывая, что snmp - это udp, спуфить могут давже кулхакеры...

ivlad (14.10.2004 22:49:49)

Re: Re: Re: Squid подвержен remote DOS

При правильной настройке это будет возможно только из локалки. Ну положит кулхацкер проксю, и будет, как хакер из анекдота, сидеть без интернета :)

smm (15.10.2004 0:48:53)

Re: Re: Re: Re: Squid подвержен remote DOS

А расскажите анекдот.

Re: Squid подвержен remote DOS

Блин, да! Есть пара серверов, на которых Squid поднят на фсех интерфейсах, пойду чинить пока не сломано :D Апдейтить лень как-то.

mutronix (15.10.2004 4:49:41)

Re: Re: Re: Re: Squid подвержен remote DOS

>NAT - некэширующий пркси с широчайшими возможностями

>squid - кэширующий прокси для ограниченного набора протоколов

Полное непонимание принципиального отличия NAT и proxy.

Первый просто форвардит оригинальные пакеты, на проходе подменяя поле src ip и, возможно, src port.

Второй выступает со стороны клиента в качестве сервера, а снаружи прикидывается клиентом. Т.е. исходные пакеты "поглощаются" проксей, а наружу выходят совершенно новые пакеты.

Из этого вытекает достаточно много следствий.

В принципе, NATу все равно какой протокол прикладного уровня пропускать (исключения - специфические протоколы, типа FTP, которые передают ip адреса в поле данных. Для таких протоколов нужна специальная поддержка). Прокси же всегда рассчитан на работу с конкретными протоколами 7-го уровня. И если для специфического протокола прокси еще не написан - труба! (Например PPTP. Я не знаю прокси для gre)

Со стороны клиента NAT абсолютно "прозрачен". В случае прокси - обязательна поддержка конкретного типа проксей в клиенте, что не всегда осуществимо.

Для NATa существует проблема фрагментации. У любого прокси - отсутствует.

Если на интерфейсах разные MTU, NAT может вовсе перестать работать, т.к. не способен пересобирать пакеты. Для любого прокси эта проблема решается естественным образом.

Т.о. у обеих технологий есть свои сильные и слабые стороны. Вопрос, когда что применять, не решается однозначно.

Re: Squid подвержен remote DOS

SNMP - Security is Not My Problem :)

Re: Re: Squid подвержен remote DOS

Покажите мне идиота, у которого squid снаружи не прикрыт файрволом.

Re: Re: Re: Squid подвержен remote DOS

Ессно, надаже админу както денюжку на икорку нашукать

Re: Re: Re: Re: Re: Squid подвержен remote DOS

Поясните пожалуйста, почему у NAT должны быть проблемы с дефрагментацией?

Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

Поверь на слово есть проблемы с MTU Классический пример: Локалка 192.168.x.x, на рутере реальный IP и туннель gre через который гонится весь трафик. Моментально огребаешься граблями по самое небалуйся.

Помогает -A POSTROUTING -o tunnel -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1360

Re: Re: Re: Re: Re: Squid подвержен remote DOS

Оно: http://www.google.ru/search?hl=ru&q=PPTP+proxy&btnG=%D0%9F%D0%BE%D0%B... ?

KBAKEP (15.10.2004 10:56:56)

Re: Re: Re: Squid подвержен remote DOS

>Покажите мне идиота, у которого squid снаружи не прикрыт файрволом.

А это как? Stateful Packet Filter?

KBAKEP (15.10.2004 11:03:04)

Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

>Поверь на слово есть проблемы с MTU Классический пример

теорию объяснить слабО? Может всё дело в том, что некоторые "эксперты по безопасности" блокируют icmp? У меня с NAT и тоннелями никогда таких проблем не было.

abramoff (15.10.2004 11:25:21)

Re: Re: Re: Squid подвержен remote DOS

Кулхацкеры из локалки получат по морде.

hdlc (15.10.2004 11:36:48)

Re: Re: Squid подвержен remote DOS

Ага, с тупыми админами можно положить все, что угодно

Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

Абсолютно точно: NAT здесть ни при чем.

Re: Re: Re: Re: Re: Squid подвержен remote DOS

Поломал хакер провайдера, и теперь сидит, как дурак, без Интернета :)

smm (15.10.2004 14:04:37)

Re: Re: Re: Re: Re: Squid подвержен remote DOS

2anonymous (*) (15.10.2004 5:59:17)
>Первый просто форвардит оригинальные пакеты, на проходе подменяя поле
> src ip и, возможно, src port.

>Второй выступает со стороны клиента в качестве сервера, а снаружи
> прикидывается клиентом. Т.е. исходные пакеты "поглощаются" проксей, а
> наружу выходят совершенно новые пакеты. 

Сюда еще добавить, что прокси организовывает ДВА ОТДЕЛЬНЫХ соединения. 
От клиента до себя и от себя до сервера.
NAT же, акромя подмены в заголовке пакета, ничего делать не должОн.
Все остальные навороты NAT-ов это свойства конкретных реализаций ;-)

Посему на firewall (не путайте с фильтрующим роутером) и возможно
применения только проксирования.  ;-)

kpn (15.10.2004 15:46:19)

Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

>У меня с NAT и тоннелями никогда таких проблем не было.

Попробуй на своих виндовых клиентах выключить "Path MTU Discovery" и поставь фиксированное значение MTU=1500 (для ethernet). Тогда и поймешь, почему у тебя, якобы, нет проблем с тоннелями.

А представляешь себе, как "Path MTU Discovery" тормозит TCP стэк.

Re: Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

А на каких виндовых клиентах "Path MTU Discovery" включен по умолчанию?

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

ну у меня сквид снаружи не прикрыт фиреволом и что? мне удобно когда клиенты подсоединяются к конкурирующему провайдеру и видят сообщение об ошибке на русском языка

а что касается нат так попробуйте сквозь прокси какойнибудь real-time протокол типа rpd - полная лажа.

Re: Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

>Попробуй на своих виндовых клиентах выключить "Path MTU Discovery"

т.е. предлагается сначала самому что-то сломать, чтобы увидеть проблему? Гениально.

>А представляешь себе, как "Path MTU Discovery" тормозит TCP стэк.

"А мужики-то не знают"

>А на каких виндовых клиентах "Path MTU Discovery" включен по умолчанию?

да, afaik, на всех
PMTUD стар как мир

abramoff (16.10.2004 10:53:56)

Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

>> теорию объяснить слабО?

http://en.tldp.org/HOWTO/IP-Masquerade-HOWTO/mtu-issues.html

togusak (16.10.2004 12:09:01)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Squid подвержен remote DOS

> > А на каких виндовых клиентах "Path MTU Discovery" включен по умолчанию?

> да, afaik, на всех
> PMTUD стар как мир

Ага, это я с EnablePMTUBHDetect перепутал, который по умолчанию выключен.