-
Сообщение от
p2u
Не 'возможно', а точно. Это по моему и есть записи из раутера нет? КИС, насколько я помню, так не пишет журналы...
Paul
Да, это оттуда (отчет раутера). И таких записей очень много. Меняются IP и порты. Защита сетевых атак KIS упорно молчит, в его отчетах нет ничего
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
1205
Да, это оттуда (отчет раутера). И таких записей очень много. Меняются IP и порты. Защита сетевых атак KIS упорно молчит, в его отчетах нет ничего
Но за раутером, что вы ожидали? Раутер блокирует уже наверняка - если КИС ещё что-то писал бы, вам пришлось бы выбросить этот раутер из окна...
Бывают такие файрволы, которые пишут что сам раутер атакует ваш комп. К счастью такого не видать в КИСе....
Paul
-
Junior Member
- Вес репутации
- 61
У кого-нибудь outpost 2009 так же молчит как kis? За все время - 3 года - ни одной атаки, только сканирование портов >_< Это так хорошо меня outpost прячет или провайдер старается )) ? Настройки outposta максимальные - выбраны все типы атак.
Анти-хакер Касперского постояно детектил атаку хелкерн.
Последний раз редактировалось polimorf; 24.07.2008 в 16:19.
-
-
На тестирование КИСа по теме у меня вышел облом. Corbina (мой провайдер) не пропускает меня в Инет. Пришлось восстановить систему на состояние час назад с помощью Norton GoBack...
Сначала сделал лог GetSysInfo и выложил на сайт парсера во Франции - проблем несовместимости не было обнаружено (а как же иначе - система чиста). Загрузил и установил kis8.0.0.445ru.exe (последнюю версию). Сбоев или синних экранов не было. Всё вроде нормально работала ('You are protected' и всё такое - чувствовал себя как за каменной стеной ), но видимо в аутентикации на Corbina по протоколу L2TP есть загвоздки...
Paul
-
Сообщение от
p2u
но видимо в аутентикации на Corbina по протоколу L2TP есть загвоздки...
Paul
У Корбины с L2TP какие-то проблемы. Я как-то настроил через него, интернет вылетал постоянно и скорость меньше стала. Лучше через обычный PPTP...
Corbina L2TP больше года был на стадии тестирования, и наверное так и не дотестировали.
-
Сообщение от
1205
У Корбины с L2TP какие-то проблемы. Я как-то настроил через него, интернет вылетал постоянно и скорость меньше стала. Лучше через обычный PPTP...
Corbina L2TP больше года был на стадии тестирования, и наверное так и не дотестировали.
Не заметил. У меня всегда нормально работала и сейчас нормально работает; только не с КИС...
(Конец офф-топа).
Paul
-
кис 8.0.0.445, полный скан портов tcp и udp:
Код:
Interesting ports on 192.168.0.2:
Not shown: 65098 closed ports, 437 filtered ports
Reason: 65098 resets and 437 no-responses
PORT STATE SERVICE REASON VERSION
2869/tcp open http syn-ack Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)
Service Info: OS: Windows
Interesting ports on 192.168.0.2:
Not shown: 65527 closed ports
Reason: 65527 port-unreaches
PORT STATE SERVICE REASON VERSION
123/udp open ntp udp-response Microsoft NTP
135/udp open|filtered msrpc no-response
137/udp open|filtered netbios-ns no-response
138/udp open|filtered netbios-dgm no-response
139/udp open|filtered netbios-ssn no-response
445/udp open|filtered microsoft-ds no-response
500/udp open|filtered isakmp no-response
1900/udp open|filtered upnp no-response
4500/udp open|filtered sae-urn no-response
Service Info: OS: Windows
-
Сообщение от
costashu
123/udp open ntp udp-response Microsoft NTP
@ All
Думаю, что немаловажно отметить, что открытый порт 123 - достаточно большой риск для безопасности; можно через него с точностью определить ОС и узнать настройки времени данного хоста. Говорить ещё о прямых эксплойтах против службы времени Windows - это уж слишком банально...
PORT 123 - Information
Port Number: 123
TCP / UDP: UDP
Delivery: No
Protocol / Name: ntp
Port Description: Network Time Protocol. Provides time synch between computers and network systems. Assists in database mgmt, auth schemes, and audit/logging accuracy. Security Concerns: It provides both info and an avenue of attack for intruders. Info gathered can include: system uptime, time since reset, time server pkt, I/O, & memory statistics, and ntp peer list. Further, if a host is susceptible to time altering via ntp, an attacker can:
1) Run replay attacks, using captured OTP and Kerberos tickets before they expire.
2) Stop security-related cron jobs from running or cause them to run at incorrect times.
3) Make system and audit logs unreliable, since time is alterable.
Virus / Trojan: No
@ ЛК
Порт 123 единственный, где порт сервера и порт клиента - тот же. Известно же уже давно, что ничего кроме подлинных запросов и/или ответов по NTP пропускать на этот порт нельзя?! Разъясните, пожалуйста, плачевный результат.
@ costashu:
Это nmap или nessus выдал?
Paul
Последний раз редактировалось XP user; 27.07.2008 в 10:29.
-
Сообщение от
p2u
@ costashu:
Это nmap или nessus выдал?
Paul
nmap. Подтверждается nessus
-
Сообщение от
costashu
nmap. Подтверждается nessus
Спасибо.
К сожалению придётся блондинкам перекраситься, или стричься налысо...
Сообщение от
costashu
2869/tcp open http syn-ack Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)
В добавок: я пропустил ещё порт 2869 в журнале costashu - тоже серьёзный риск. Это же UPnP/SSDP, из любимых векторов атак уже годами. Отличается от порта 123 тем, что можно через него напрямую атаковать память Винды (malformed http requests от атакера из того же сегмента, и всё такое)...
Paul
Последний раз редактировалось XP user; 27.07.2008 в 11:45.
Причина: Добавлено
-
провел скан с помощью nessus (шаровый последний). Открыты те же порты, плюс подозрение на 21/tcp (возможно фалс). Также нессус нашел уязвимость среднего, оранжевого уровня тревоги (Medium Severity problem(s) found), а именно:
Remote host replies to SYN+FIN
Synopsis :
It may be possible to bypass firewall rules.
Description :
The remote host does not discard TCP SYN packets which have
the FIN flag set.
Depending on the kind of firewall you are using, an attacker
may use this flaw to bypass its rules.
See also :
http://archives.neohapsis.com/archiv...2-10/0266.html
http://www.kb.cert.org/vuls/id/464113
Solution :
Contact your vendor for a patch.
Risk factor :
Medium / CVSS Base Score : 5.0
(CVSS2#AV:N/AC
/Au:N/C:N/I
/A:N)
BID : 7487
Nessus ID : 11618
вот экспорт результата скана (2.5кб) - nessus-report.rar
-
@ costashu
Любая грамотная атака начинается с разведки - сбора всей доступной информации об объекте нападения. Думаю, что мы собрали более, чем достаточно; у вас комп, я сказал бы, прямо умоляет нас атаковать его... Не грубой силой, конечно (это сразу заметно будет), а по-тихоньку. Несколькими malformed пакетиками в день, допустим, или TCP SYN пакетами с FIN флагами против самого файрвола, раз он такие пропускает/не отбрасывает. Потом уже продолжать действовать в обход правил данного файрвола. Нам весело будет; вам не очень...
Добавлено через 4 часа 24 минуты
Долго думал, писать или нет, но знаете, что мне больше всего не нравится в данном эксперименте? Целью сканирования является проверка полноты системы правил фильтрации. Система предполагает наличие правила обработки по умолчанию; по старым добрым правилам это должно быть 'Запретить Всё Всем'. В KISe такого нет, значит и нет системы. Любой открытый программой/службой порт становится доступен для атак. Вот недостаток файрвола KISa, по новой 'идеологии', описанной здесь. (Если ваш IP-адрес прямой, так сказать, то тогда ваш комп будет доступен для атак из ВСЕГО ИНЕТА!)
Paul
Последний раз редактировалось XP user; 27.07.2008 в 22:14.
Причина: Добавлено
-
Сообщение от
p2u
@ costashu
вам не очень...
Paul
это тестовый комп
-
Сообщение от
costashu
это тестовый комп
Да, да... А теперь представьте себе, что раздают торренты по локалке, например. Это значит, что каждый с прямым IP-адресом будет доступен из Инета. Смеха уже не будет, как вам кажется?
Paul
-
Сообщение от
p2u
Смеха уже не будет
Paul
смотря кому. У меня торрентов нет
-
посканил нессусом техрелиз кис 8.0.0.454. Результат тот же. И как быть? Уязвимость средней серьезности в защитном софте не имеет значения?
Последний раз редактировалось costashu; 02.08.2008 в 15:03.
Причина: Добавлено
-
Сообщение от
costashu
посканил нессусом техрелиз кис 8.0.0.454. Результат
тот же. И как быть? Уязвимость
средней серьезности в защитном софте не имеет значения?
Обычный порядок такой:
Желательно самому написать эксплойт (для убедительности), и передать отчёты производителю продукта. Если производитель продукта не реагирует патчом в разумный срок, и/или ваши попытки связаться с производителем продукта и сообщить ему об уязвимости закончатся неудачей, то тогда уже уведомить общественность.
Paul
-
Попробуйте почитать внимательнее описание уязвимости.
1. Затронутые уязвимостью операционные системы не совместимы с KIS, за прошедшие почти 6 лет с момента обнаружения проблемы многое изменилось.
2. Фаервол KIS использует фильтрацию соединений, даже если переделать KIS под NT 4 он будет отлавливать попытки соединения с FIN флагом.
Сообщение от
p2u
Обычный порядок такой:
Желательно самому написать эксплойт (для убедительности), и передать отчёты производителю продукта. Если производитель продукта не реагирует патчом в разумный срок, и/или ваши попытки связаться с производителем продукта и сообщить ему об уязвимости закончатся неудачей, то тогда уже уведомить общественность.
Paul
-
Я сам хочу, чтобы все было хорошо. Но, коллеги, ведь даже методики проверки здесь нет. Каждый тестирует так, как считает правильным. При этом есть только общие наброски - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
1. Тип соединения
2. Отсутствие любых устройств, которые могу "помочь пользователю"
3. Отсутствие любых программных потенциально-несовместимых фильтров, счетчиков, фаерволов и т.п. Неактивные - это не значит, что не работают. Т.к. есть драйверы и NDIS-фильтры.
4. Настройка KIS. Проверяется не фаервол, а его основная составляющая - пакетные правила по умолчанию.
5. Фактическое использование найденных брешей. Допустим, пользователь выключит IDS или установит p2p-соединение. Как это поможет злоумышленнику? Т.е. хотя бы telnet.