Další mini-díl našeho společného snažení, tentokrát opravdu mobilně o mobilním webu a přístupu #Google.

Pokud se Vám mini vlog bude líbit nechte k tématu komentář, dejte like nebo ještě lépe odběr.

Díky František Havel

http://havel.mojeservery.cz

Pozn.:
Tento článek nepopisuje základní funkcionalitu,obsluhu ani princip fungování nástroje tcpdump.

Tcpdump je “dědeček” v oblasti paketových analyzátorů, fungující na příkazové řádce, dostupný pro většinu unix systémů i Windows, postavený na C/C++ knihovně libpcap.

Používá se pro odchycení (sniff) a analýzu komunikace v počítačových sítích, orientuje se především na protokoly tcp/ip (nikoliv výhradně), jedná se o jeden ze základních nástroj pro diagnostiku problémů, každý “síťař” ho musí znát, protože nikdo “nevidí” do kabelů.

Tcpdump vznik k roce 1987 v Berkeley Laboratory Network Research Group v USA v Kalifornii, jaká to náhoda.

Připomeňme si v rychlosti strukturu IP hlavičky.

Základní primitiva pro tcpdump filter, jsou vcelku jednoduchá (zdrojový/cílový host, síť, port, protokol) ,lze je přehlední najít v manuálových stránkých nebo online zde či manuál.

Pojďme se nyní podívat na některé záludnější konstrukce, co jsem posbíral za dosavadní činnost v oblasti síťí.

DHCP

# filtruje DHCP klienta s MAC d4:3d:7e:27:79:fc
root@havel-machine:~# tcpdump -i eth0 -vvv -s 1500 '((port 67 or port 68) and (udp[38:6] = 0xd43d7e2779fc))'
# filtruje DHCP DISCOVER, REQUEST, INFORM
root@havel-machine:~# tcpdump -i eth0 -vvv -s 1500 '((port 67 or port 68) and (udp[8:1] = 0x1))'

Spanning tree

root@havel-machine:~# tcpdump -i eth0 -vvv ether[14:1] = 0x42
# výstup, lze vidět surová data BPDU
root@havel-machine:~# tcpdump -i eth0 -vvv -e -l -xX -ttt -c 3 multicast

VLAN/CDP/LLDP

# běhá nám tam správná vlan/cdp
root@havel-machine:~# tcpdump -i eth0 -n -vvv -s 1500 -c 1 'ether[20:2] == 0x2000'
# pro LLDP použijte ether proto 0x88cc

TCP příznaky (flags)

#URG příznak root@havel-machine:~# tcpdump 'tcp[13] & 32 != 0' 
# ACK příznak 
root@havel-machine:~# tcpdump 'tcp[13] & 16 != 0' 
# PSH příznak 
root@havel-machine:~# tcpdump 'tcp[13] & 8 != 0' # RST příznak 
root@havel-machine:~# tcpdump 'tcp[13] & 4 != 0' # SYN příznak 
root@havel-machine:~# tcpdump 'tcp[13] & 2 != 0' # FIN příznak 
root@havel-machine:~# tcpdump 'tcp[13] & 1 != 0' # SYN-ACK příznak 
root@havel-machine:~# tcpdump 'tcp[13] = 18'

HTTP POST

root@havel-machine:~# tcpdump tcp[2:2] = 80 and \(tcp[20:4] = 1347375956
or tcp[24:4] = 1347375956 or tcp[28:4] = 1347375956 or tcp[32:4] = 1347375956 or tcp[36:4] = 1347375956 or tcp[40:4] = 1347375956 or tcp[44:4] = 1347375956 or tcp[48:4] = 1347375956 or tcp[52:4] = 1347375956 or tcp[56:4] = 1347375956 or tcp[60:4] = 1347375956\)

Pro filtrování IPSEC použijte v protokolech esp či ah, multicast lze odfiltrovat pomoci proto igmp nebo pim.

Ucelený přehled filtrů pro tcpdump v TXT formátu naleznete např. zde.

A nakonec dáme jednu škaredou, podobných kouskem jsem se v dřevních dobách bavili na průmyslové škole v době kdy switche nebyly vůbec standardem a huby s koaxem kralovaly, bohužel za to přišlo podmínečné vyloučení, ale to jsme jinde.

root@havel-machine:~# tcpdump port http or port ftp or port smtp or port imap or port pop3 -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20

APG – Advanced Password Generator

APG používam řadu let k plné spokojenosti, instalace je standartní součastí repositářů Debian/Ubuntu serveru, RPM distribuce mají k dispozici EPEL.

Co umí APG?

• nastavení minimální, maximální délky hesla
• nastavení podílu (v %) speciálních znaků v heslo
• libobolných počet generovaných hesel
• inicializace random generátoru vlastním řetezcem (seed)
• obsahuje dva vestaveně algoritmy generování hesel, výchozí AD-A-017676/FIPS-181
• vestavěný pseudo generátor nahodných čísel dle RFC1750, /dev/random je použit jako seed
• použití ve scriptech
• generování hesla na žadost (síťová verze s tcpd)
• k dispozici pro mnoho unix platforem, Windows i Mac
• a mno dalšího viz. man apg

Bezpečnost stojí a pádá z velké časti na použití silných hesel, pokud již je nutné hesla použít, připomeňme si pár zásad tvorby silných hesel.

1. nejméně 15 znaků délka hesla
2. neobsahuje uživatelské jméno, skutečné jméno, organizaci/firmu/školu, jména rodinných příslušníků, domácích mazlíčků
3. neosahuje datum narození, čísla občanského průkazu či pasu
4. neobsahuje po sobě jdoucí sekvence, čísla (např. 123456)
5. neobsahuje bežné slovu výskytující se ve slovníku
6. není shodné s předchozím heslem
7. obsahuje alespoň 3 následující typy znaků malá písmena, velká písmena, číslice, speciální znaky (%,$,#,@,!,…)

Malá ukázka?

havel@havel-machine:~$ apt-get install apg
havel@havel-machine:~$ apg
Please enter some random data (only first 16 are significant)
(eg. your old password):>
aiclopCuak7 (aicl-op-Cu-ak-SEVEN)
5bledItJap2 (FIVE-bled-It-Jap-TWO)
PeefIcPylt0 (Peef-Ic-Pylt-ZERO)
lezRajOfcul9 (lez-Raj-Of-cul-NINE)
cesVabtyriv7 (ces-Vab-ty-riv-SEVEN)
yanEjOddob3 (yan-Ej-Odd-ob-THREE)

havel@havel-machine:~$ apg -a 1 -m 32 -n 1
“OPEPQEz2L-N[v%Mumb)e+Gm>|T,\$~^
( velmi hezká a silná hesla o déllce 32 znaků)

havel@havel-machine:~$ apg -a 0 -M sncl -n 6 -x 10 -m 16 -n 1
EmKodhaidtinyit1

Zájemce odkazuji na “man apg”.

A to je vše přátelé, a jak generujete hesla vy?

Děkuji za pozornost. František Havel

Blokovat nežádoucí IP adresy v přístupu na Váš server nemusí být vždy snadné, zvláště v případě kdy se bavíme o samostatných IP adresách (/32) bez společného CIDR prefixu.

Klasický nástroj netfilter/iptables dokáže tento problém snadno řešit.

root@havel-machine:~# iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
root@havel-machine:~# iptables -A INPUT -s 2.2.2.2 -p UDP -j DROP

Snadné! A když se seznam rozroste na 10000 položek? V systému bude 10000 iptables pravidel? Takto to nelze škálovat.

Zde na pomoc přichází IPset framework v kombinaci s iptables, co to umí?

• uchování rozsáhlých seznamů IP adres, portů TCP/UDP, MAC adres
• rychlé prohledávání seznamu pomocí hashe
• dynamické aktualizace seznamu

Instalace Debian

root@havel-machine:~# apt-get install ipset
root@havel-machine:~# ipset create banlist hash:net
root@havel-machine:~# ipset list
 Name: banlist
 Type: hash:net
 Revision: 4
 Header: family inet hashsize 1024 maxelem 65536
 Size in memory: 16760
 References: 0
 Members:
 (maxelem lze změnit parametrem maxelem při volání create)

root@havel-machine:~# ipset add banlist 1.1.1.1/32
root@havel-machine:~# ipset add banlist 2.2.2.2/32
root@havel-machine:~# ipset add banlist 3.3.3.3/32
root@havel-machine:~# ipset add banlist 4.4.4.4/24
root@havel-machine:~# ipset list
 Name: banlist
 Type: hash:net
 Revision: 4
 Header: family inet hashsize 1024 maxelem 65536
 Size in memory: 16888
 References: 0
 Members:
 4.4.4.0/24
 3.3.3.3
 1.1.1.1
 2.2.2.2

Máme připraven ipset, zavedem ho do iptables pravidla, zde si ukážeme blokaci pro port 80 (www server) a port 25 (smtp).

root@havel-machine:~# iptables -I INPUT -m set –match-set banlist src -p tcp –destination-port 80 -j DROP
root@havel-machine:~# iptables -I INPUT -m set –match-set banlist src -p tcp –destination-port 25 -j DROP

root@havel-machine:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp — 0.0.0.0/0 0.0.0.0/0 match-set banlist src tcp dpt:25
DROP tcp — 0.0.0.0/0 0.0.0.0/0 match-set banlist src tcp dpt:80

V kombinaci s ipset se přímo nabízí nějaká služba proautomatické blokování, zkuste se mrknout iblocklist.com.

Další info, man ipset.

Díky za Váš čas. František Havel

Přátelé, kamarádi, kolegové, dámy, pánové, široká veřejnosti.

Čekali jste, snažili jsme se a už je to tady, místo keců, další video našeho malého mini seriálu, velké poděkování za veškeré veřejné i soukromé komentáře.

Další díl na světě, ke shlédnutí právě teď a tady.
František Havel: #2 Historie operačního systému GNU/Linux

Připravuji mini-sérii o ústředně Asterisk formou vlastních poznámek a zkušeností, postupně bych se rád prokousal následujícím, né nezbytně v tomto pořadí.

• co je to Astrisk a proč by nás to mělo zajímat
• kodeky a protokoly (SIP, H.323, IAX, …)
• instalace mini-ústředny, konfigurace mini-ustředny
• “programujeme” dialplan
• debug
• CDR
• Asterisk AMI, nové REST API
• ukázka implementace a řešení interkomu na raspberrypi s knihovnou PJSIP (open-source sip stack, http://www.pjsip.org)

FH

K cíly vede mnoho cest.

# cat /var/log/squid/access.log | perl -p -e ‚s/^([0-9]*)/“[“.localtime($1).”]„/e‘

# tail -f /var/log/squid/access.log | perl -p -e ‚s/^([0-9]*)/“[“.localtime($1).”]„/e‘

# tail -f /var/log/squid/access.loc | ccze -CA

Ale jediná systémově správna, přes squid.conf.

logformat squid %tl.%03tu %6tr %>a %Ss/%03Hs %