PDA

Visualizza la versione completa : Server Debian compromesso


mcz
07-09-2006, 13:43
Nuovo attacco ad un server Debian.
Si tratta di Alioth.
Debian mette in guardia dall'installare pacchetti di terzi da questo Server.

Debian-Server erneut kompromittiert (http://www.pro-linux.de/news/2006/10190.html)
Debian's Alioth cracked (http://lwn.net/Articles/198466/rss)

mcz :ciauz:

fallimento
07-09-2006, 13:49
Prendo spunto da questa nuova segnalazione di attacco per porvi una domanda all'apparenza stupida:

quali sono le regole basilari di sicurezza per avere un server web (debian nel caso in questione) ben protetto dagli attacchi più frequenti???

Presumo altresì che un server "affacciato" ad internet ma con tutte le porte in "drop" non sia sottoposto a nessun tipo di attacco...spero di non sbagliare...

Ciao a tutti

billiejoex
07-09-2006, 15:05
quali sono le regole basilari di sicurezza per avere un server web (debian nel caso in questione) ben protetto dagli attacchi più frequenti???
http://www.google.it/search?hl=it&q=securing+apache&meta=


Presumo altresì che un server "affacciato" ad internet ma con tutte le porte in "drop" non sia sottoposto a nessun tipo di attacco...spero di non sbagliare...
Il solo fatto di essere interconnesso ad una rete è motivo di insicurezza. Una macchina completamente firewallata è cmq sensibile a stimoli esterni dato che il firewall i pacchetti che riceve li deve comunque processare:

- "Con questo pacchetto che ci faccio?"
- "Lo faccio passare?"
- "Lo redirecto?"
- "Ne modifico i campi per un NAT/PAT?"
- "Lo blocco?"
- "Se si in che modo? Mando un ICMP 'port unreachable' in risposta (politica DROP) oppure non ritorno nulla (politica REJECT)?"
- "Ecc..."

Capisci che l'implementazione di una struttura simile non è banale, un errore implementativo può scappare e un pacchetto malformato ad hoc potrebbe generare comportamenti imprevisti.
Senza contare il fatto che contro i DoS di rete (floods massicci) non c'è firewall che tenga: il tuo servizio rimane oscurato e fine.
Un'altra possibile vulnerabilità che mi viene in mente è nel caso in cui il firewall sì non accetta connessioni in entrata ma le permette in uscita. In tal caso, per lo meno se si trova all'interno dello stesso segmento di rete, l'attacker potrebbe hijackare la connessione, causare un DoS al server, al client o generico a tutta la rete (giusto per dirne qualcuna), e qui non c'è firewall che tenga.
Il firewall non è la cura per tutti i mali. Se sotto ci stà un protocollo vecchio ed intrinsecamente insicuro, come TCP, puoi cercare di tenere le connessioni sotto controllo il più possibile ma ovviamente oltre un certo limite non potrai andare.

Loading