ssh - no-ip.org
Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo
Re: ssh - no-ip.org
El Jueves, 8 de Diciembre de 2005 15:53, Ricardo Araoz escribió: || Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi || ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la || nueva dirección). Me estaba preguntando si esto no posibilita algún || agujero de seguridad. ¿Por qué? ni siquiera hay que tener un servicio en tu ordenador, simplemente un programilla que hace una conexión a no-ip.com o dyndns.org o a quien sea y le informa de la nueva IP. No se me ocurre ningún agujero de seguridad debido a esto. -- que a mí ni me va ni me viene... pero por comentar...
RE: ssh - no-ip.org
Asunto: ssh - no-ip.org Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Esto de por sí no supone un riesgo añadido, lo único que cambia es que habrá un nombre en internet que apunte a tu IP, pero los problemas de seguridad, si tienes alguno, o no, seguirán siendo los mismos. Ahora, si alguien te quiere atacar a ti en concreto, conociendo este nombre no puede perderte la pista cuando tu ISP te renueve la IP, pero esto ya es tener mala folla y tiempo de aburrimiento por parte del atacante. __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es
Re: ssh - no-ip.org
El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Agujero como cual?? un servidor dns simplemente cambia el nombre por la IP (las tramas IP usan el numero IP, no el nombre), yo pienso que es seguro si vas administrar tu firewall (solo abriendo los puertos necesarios) Saludos, Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org
Re: ssh - no-ip.org
2005-12-08 15:53 +0100, Ricardo Araoz [EMAIL PROTECTED]: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. La forma en que esto suele funcionar es que tu ordenador manda un paquete a una máquina de no-ip.org y esta actualiza la base de datos según la IP de donde le llegue, generalmente de forma indirecta (i.e. devuelve un paquete en que se indica tu IP pública y el mismo programa que mandó el paquete se encarga de hacer la actualización. En principio no veo problemas en el procedimiento anterior. La mayor pega es que pueda haber algún agujero de seguridad en la aplicación que llegue a dar problemas. Creo que en el caso de GNU/Linux, el programa que se usa usa programas del sistema y no propios, lo cual lo hace (en este aspecto) tan seguro como era antes tu sistema. Por tanto sólo queda la precauciòn de que el demonio o script que actualice la IP corra con el mínimo posible de privilegios, y si se es muy paranoico, quizás habría que encontrar una manera de que la contraseña de no-ip no quede registrada en disco. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED]
Re: ssh - no-ip.org
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ricardo Araoz wrote: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Si. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmE8Akw12RhFuGy4RApICAKCDAEX0E1LvY0wDNuCKY3tjkqUVYgCdHWyl h4ANewv8udVGB0ev9THjTs4= =V8Ot -END PGP SIGNATURE-
Re: ssh - no-ip.org
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: El Jueves, 8 de Diciembre de 2005 15:53, Ricardo Araoz escribió: || Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi || ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la || nueva dirección). Me estaba preguntando si esto no posibilita algún || agujero de seguridad. ¿Por qué? ni siquiera hay que tener un servicio en tu ordenador, simplemente un programilla que hace una conexión a no-ip.com o dyndns.org o a quien sea y le informa de la nueva IP. No se me ocurre ningún agujero de seguridad debido a esto. A mi (y seguramente a otros mas malvados que yo), varios. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmE+Hkw12RhFuGy4RAtL1AJ9pksBsn5lmNBIvIZcPu/Hb9eB5tgCfTPL+ a6lWqPkb5j97io6vfkH/85Q= =5xQa -END PGP SIGNATURE-
Re: ssh - no-ip.org
El día 8/12/05, Ricardo Frydman Eureka! [EMAIL PROTECTED] escribió: -BEGIN PGP SIGNED MESSAGE-Hash: SHA1Iñaki wrote: El Jueves, 8 de Diciembre de 2005 15:53, Ricardo Araoz escribió: || Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi || ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la || nueva dirección). Me estaba preguntando si esto no posibilita algún || agujero de seguridad. ¿Por qué? ni siquiera hay que tener un servicio en tu ordenador, simplemente un programilla que hace una conexión a no-ip.com o dyndns.org o a quien sea y le informa de la nueva IP. No se me ocurre ningún agujero de seguridad debido a esto.A mi (y seguramente a otros mas malvados que yo), varios.Pues podías comentar algunos porque somos muchos los usuarios que lo usamos y creo yo que estaría bien saber algo. -- ... may the source be with you...
Re: ssh - no-ip.org
On Thu, 2005-12-08 at 16:14 +0100, Iñaki wrote: El Jueves, 8 de Diciembre de 2005 15:53, Ricardo Araoz escribió: || Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi || ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la || nueva dirección). Me estaba preguntando si esto no posibilita algún || agujero de seguridad. ¿Por qué? ni siquiera hay que tener un servicio en tu ordenador, simplemente un programilla que hace una conexión a no-ip.com o dyndns.org o a quien sea y le informa de la nueva IP. No se me ocurre ningún agujero de seguridad debido a esto. Quizá pregunte por la posibilidad de crear una petición falsa de actualización de ip para redireccionar los clientes a otro ordenador. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ssh - no-ip.org
Quizá pregunte por la posibilidad de crear una petición falsa de actualización de ip para redireccionar los clientes a otro ordenador. Se actualiza no cuando le llegue una peticion sino cada cierto tiempo que se ha configurado, es como si estuviera en el cron, es mas, lo tienes que poner en el cron me parece Saludos, -- Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org
Re: ssh - no-ip.org
2005-12-08 16:15 +0100 , Diego Quintana Cruz [EMAIL PROTECTED]: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Agujero como cual?? El cliente manda un paquete al servidor. El servidor de IP saca del mismo la IP pública y se la envía en el contenido de otro paquete. El cliente recibe el paquete y extrae su dirección IP pública. Si este proceso de extracción está mal programado, puede haber un agujero de seguridad: un atacante inyecta un paquete de respuesta especial que aprovecha el fallo de programación para entrar en la máquina del cliente con los credenciales que esté corriendo el programa. Después de este proceso el cliente se conecta al servidor de configuración para actualizar la IP (si es necesario). Según como ocurra esto, alguien podría impersonar al servidor de configuración y aprovechar alguna deficiencia en el programa de actualización del cliente y en el protocolo de actualización para entar en su máquina. Si la actualización se hace en un solo paso (i.e. hay un único servidor que se encarga de extraer la IP pública y de actualizar la configuración) el posible ataque sería similar al que se puede dar con un servidor de configuración. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED]
Re: ssh - no-ip.org
El día 8/12/05, Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED] escribió: 2005-12-08 16:15 +0100 , Diego Quintana Cruz [EMAIL PROTECTED]: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Agujero como cual??El cliente manda un paquete al servidor. El servidor de IP saca delmismo la IP pública y se la envía en el contenido de otro paquete. El cliente recibe el paquete y extrae su dirección IP pública. Si esteproceso de extracción está mal programado, puede haber un agujero deseguridad: un atacante inyecta un paquete de respuesta especial queaprovecha el fallo de programación para entrar en la máquina del cliente con los credenciales que esté corriendo el programa.Después de este proceso el cliente se conecta al servidor deconfiguración para actualizar la IP (si es necesario). Según comoocurra esto, alguien podría impersonar al servidor de configuración y aprovechar alguna deficiencia en el programa de actualización delcliente y en el protocolo de actualización para entar en su máquina.Si la actualización se hace en un solo paso (i.e. hay un únicoservidor que se encarga de extraer la IP pública y de actualizar la configuración) el posible ataque sería similar al que se puede dar conun servidor de configuración.--Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED] Me da la impresion que el problema de seguridad, esta mas en la configuracion de tu sistema que en el servicio de no-ip, ya que este solo hace uso de servicios que tu mismo abriste. Si por ejemplo utilizo ssh con no-ip, pero tengo el 80, el 21 el 25, el 110 abiertos (tambien otros), ya tengo un queso gruyere y por ende cualquier vulnaribilidad sera aprovechada. Saludos-- usuario linux#274354
Re: ssh - no-ip.org
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ChEnChO wrote: El día 8/12/05, *Ricardo Frydman Eureka!* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: El Jueves, 8 de Diciembre de 2005 15:53, Ricardo Araoz escribió: || Como no tengo ip fija, uso el servicio de no-ip.org http://no-ip.org para que mantenga mi || ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la || nueva dirección). Me estaba preguntando si esto no posibilita algún || agujero de seguridad. ¿Por qué? ni siquiera hay que tener un servicio en tu ordenador, simplemente un programilla que hace una conexión a no-ip.com http://no-ip.com o dyndns.org http://dyndns.org o a quien sea y le informa de la nueva IP. No se me ocurre ningún agujero de seguridad debido a esto. A mi (y seguramente a otros mas malvados que yo), varios. Pues podías comentar algunos porque somos muchos los usuarios que lo usamos y creo yo que estaría bien saber algo. Dejame aclarar algo: el compañero pregunto si usar el servicio de dyndns y tener un dominio, posibilita algun agujero de seguridad. A eso yo le respondi que si. En un correo que acabo de mandar menciono algunos agujeros que podria posibilitar el hecho de tener un dominio expuesto en Internet Eso no significa que el hecho de usar el servicio de dyndns sumado a programas clientes como ddclient permita un agujero adicional...aunque pensandolo mejorquien dice que algun dia descubran una vulnerabilidad en ddclient -- ... may the source be with you... - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmFVQkw12RhFuGy4RAhQYAKCN9ql5yArvYguzRFapx+JiixL7twCfTtdn KmnwWcxF/OdXKlhHFRNsczQ= =g0+R -END PGP SIGNATURE-
Re: ssh - no-ip.org
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Diego Quintana Cruz wrote: Quizá pregunte por la posibilidad de crear una petición falsa de actualización de ip para redireccionar los clientes a otro ordenador. Se actualiza no cuando le llegue una peticion sino cada cierto tiempo que se ha configurado, es como si estuviera en el cron, es mas, lo tienes que poner en el cron me parece correo como demonio Saludos, -- Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmFV0kw12RhFuGy4RAswNAJ49uPLDZ9wzT7K3ET9vcgf5Zt0b6ACfYIlA gGsRfhSkf7QOviD5umRqglI= =T0Pl -END PGP SIGNATURE-
Re: ssh - no-ip.org
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Felix Perez wrote: Me da la impresion que el problema de seguridad, esta mas en la configuracion de tu sistema que en el servicio de no-ip, ya que este solo hace uso de servicios que tu mismo abriste. Si por ejemplo utilizo ssh con no-ip, pero tengo el 80, el 21 el 25, el 110 abiertos (tambien otros), ya tengo un queso gruyere y por ende cualquier vulnaribilidad sera aprovechada. solo una consideracion: si bien no es lo recomendable, y es mejor y mas tranquilizante tener filtrados esos puertos, el hecho de tenerlos abiertos no es (necesariamente) equivalente a vulnerabilidad. Si esos puertos estan convenientemente configurados, actualizados sus paquetes, pueden ser tan o mas seguros que una configuracion con los mismo puertos protegidos. De hecho, la unica manera de que alguien vea tus sitios webs implica tener el 80 abierto, y eso no es un grave riesgono? :) El tema de la seguridad/vulnerabilidad es amplio y complejo. Una de las maximas que suelen darte los que saben del tema es: Uno de los principales peligros es la /sensacion/ de seguridad. Algunos creen que configurar un firewall es todo lo necesario para /tener/ un servidor seguro. El ejemplo mas tipico se hablo por estos dias: la configuracion predeterminada de squid. Saludos -- usuario linux #274354 - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmFcmkw12RhFuGy4RArY9AJ4+HSCyXh3TL0uc2k1p7uWA+NR3rgCeLK1v G69LQ4X31E8D4uUMmDGA6fE= =ElQa -END PGP SIGNATURE-
Re: ssh - no-ip.org
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ricardo Frydman Eureka! wrote: Diego Quintana Cruz wrote: Quizá pregunte por la posibilidad de crear una petición falsa de actualización de ip para redireccionar los clientes a otro ordenador. Se actualiza no cuando le llegue una peticion sino cada cierto tiempo que se ha configurado, es como si estuviera en el cron, es mas, lo tienes que poner en el cron me parece correo como demonio quise decir: Corre como demonio! Saludos, -- Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmFdMkw12RhFuGy4RAmVRAJ9Hn9j4/5msxsNDdVOvnrBFayor5ACePBrd Ahrp+JxSKJh4dkoPNnrH9Bw= =H9CU -END PGP SIGNATURE-
Re: ssh - no-ip.org
El día 8/12/05, Ricardo Frydman Eureka! [EMAIL PROTECTED] escribió: -BEGIN PGP SIGNED MESSAGE-Hash: SHA1Felix Perez wrote: Me da la impresion que el problema de seguridad, estamas en la configuracion de tu sistema que en el servicio de no-ip, ya que este solo hace uso de servicios que tu mismo abriste.Si por ejemplo utilizo ssh con no-ip, pero tengo el 80,el 21 el 25, el 110 abiertos (tambien otros), ya tengo un queso gruyere y por ende cualquier vulnaribilidad sera aprovechada.solo una consideracion:si bien no es lo recomendable, y es mejor y mas tranquilizante tenerfiltrados esos puertos, el hecho de tenerlos abiertos no es(necesariamente) equivalente a vulnerabilidad. Es cierto el solo echo de tenerlos abiertos no es necesariamente una vulnerabilidad, si lo es tener los servicios asociados a ese puerto mal configurados, desactualizados o con configuraciones por defecto. Si esos puertos estan convenientemente configurados, actualizados suspaquetes, pueden ser tan o mas seguros que una configuracion con los mismo puertos protegidos.De hecho, la unica manera de que alguien vea tus sitios webs implicatener el 80 abierto, y eso no es un grave riesgono? :) Claro, pero si tengo carpetas con permisos mal puestos o una mala configuracion de apache ya es un riesgo. El tema de la seguridad/vulnerabilidad es amplio y complejo. Una de lasmaximas que suelen darte los que saben del tema es: Uno de los principales peligros es la /sensacion/ de seguridad.Algunos creen que configurar un firewall es todo lo necesario para/tener/ un servidor seguro.El ejemplo mas tipico se hablo por estos dias: la configuracion predeterminada de squid. Completamente de acuerdo contigo, en la confianza esta el peligro Saludos Saludos -- usuario linux#274354 - --Ricardo A.FrydmanConsultor en Tecnología Open Source - Administrador de Sistemasjabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.arSIP # 1-747-667-9534-BEGIN PGP SIGNATURE-Version: GnuPG v1.4.1 (GNU/Linux)iD8DBQFDmFcmkw12RhFuGy4RArY9AJ4+HSCyXh3TL0uc2k1p7uWA+NR3rgCeLK1vG69LQ4X31E8D4uUMmDGA6fE= =ElQa-END PGP SIGNATURE--- usuario linux#274354
Re: ssh - no-ip.org
El Jueves 08 Diciembre 2005 12:14, Iñaki escribió: El Jueves, 8 de Diciembre de 2005 15:53, Ricardo Araoz escribió: || Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi || ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la || nueva dirección). Me estaba preguntando si esto no posibilita algún || agujero de seguridad. ¿Por qué? ni siquiera hay que tener un servicio en tu ordenador, simplemente un programilla que hace una conexión a no-ip.com o dyndns.org o a quien sea y le informa de la nueva IP. No se me ocurre ningún agujero de seguridad debido a esto. Pues alguien que tenga algún tipo de control sobre no-ip.com está en una posición envidiable para iniciar un man in the middle attack. Es por esto que estaba pensando seriamente en validar los numeritos que te da el cliente la primera vez que te conectas.
Re: ssh - no-ip.org
El Jueves 08 Diciembre 2005 12:19, Ricardo Frydman Eureka! escribió: Ricardo Araoz wrote: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Si. Qué desgracia!!! Y yo que esperaba una serie de NO's Pero me sospechaba que algo podría haber
Re: ssh - no-ip.org
El Jueves 08 Diciembre 2005 12:34, Gonzalo HIGUERA DÍAZ escribió: 2005-12-08 16:15 +0100 , Diego Quintana Cruz [EMAIL PROTECTED]: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Agujero como cual?? El cliente manda un paquete al servidor. El servidor de IP saca del mismo la IP pública y se la envía en el contenido de otro paquete. El cliente recibe el paquete y extrae su dirección IP pública. Si este proceso de extracción está mal programado, puede haber un agujero de seguridad: un atacante inyecta un paquete de respuesta especial que aprovecha el fallo de programación para entrar en la máquina del cliente con los credenciales que esté corriendo el programa. Después de este proceso el cliente se conecta al servidor de configuración para actualizar la IP (si es necesario). Según como ocurra esto, alguien podría impersonar al servidor de configuración y aprovechar alguna deficiencia en el programa de actualización del cliente y en el protocolo de actualización para entar en su máquina. Ni siquiera hace falta. Con tomar nota de la contraseña que usa el cliente para acceder al servidor bastante daño puede hacer. Si la actualización se hace en un solo paso (i.e. hay un único servidor que se encarga de extraer la IP pública y de actualizar la configuración) el posible ataque sería similar al que se puede dar con un servidor de configuración. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED]
Re: ssh - no-ip.org
El Jueves 08 Diciembre 2005 12:46, Felix Perez escribió: El día 8/12/05, Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED] escribió: 2005-12-08 16:15 +0100 , Diego Quintana Cruz [EMAIL PROTECTED]: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Agujero como cual?? El cliente manda un paquete al servidor. El servidor de IP saca del mismo la IP pública y se la envía en el contenido de otro paquete. El cliente recibe el paquete y extrae su dirección IP pública. Si este proceso de extracción está mal programado, puede haber un agujero de seguridad: un atacante inyecta un paquete de respuesta especial que aprovecha el fallo de programación para entrar en la máquina del cliente con los credenciales que esté corriendo el programa. Después de este proceso el cliente se conecta al servidor de configuración para actualizar la IP (si es necesario). Según como ocurra esto, alguien podría impersonar al servidor de configuración y aprovechar alguna deficiencia en el programa de actualización del cliente y en el protocolo de actualización para entar en su máquina. Si la actualización se hace en un solo paso (i.e. hay un único servidor que se encarga de extraer la IP pública y de actualizar la configuración) el posible ataque sería similar al que se puede dar con un servidor de configuración. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED] Me da la impresion que el problema de seguridad, esta mas en la configuracion de tu sistema que en el servicio de no-ip, ya que este solo hace uso de servicios que tu mismo abriste. Si por ejemplo utilizo ssh con no-ip, pero tengo el 80, el 21 el 25, el 110 abiertos (tambien otros), ya tengo un queso gruyere y por ende cualquier vulnaribilidad sera aprovechada. Mi preocupación es que posibilite el que haya alguien en el medio, entre el cliente y el servidor. Ya que la comunicación debe pasar a través de no-ip... no estás totalmente expuesto a que no-ip escuche? Saludos -- usuario linux #274354
Re: ssh - no-ip.org
El Jueves, 8 de Diciembre de 2005 21:32, Ricardo Araoz escribió: El Jueves 08 Diciembre 2005 12:34, Gonzalo HIGUERA DÍAZ escribió: 2005-12-08 16:15 +0100 , Diego Quintana Cruz [EMAIL PROTECTED]: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Como no tengo ip fija, uso el servicio de no-ip.org para que mantenga mi ip actual (cuando mi ISP me cambia la ip un demonio le manda a no-ip la nueva dirección). Me estaba preguntando si esto no posibilita algún agujero de seguridad. Ricardo Agujero como cual?? El cliente manda un paquete al servidor. El servidor de IP saca del mismo la IP pública y se la envía en el contenido de otro paquete. El cliente recibe el paquete y extrae su dirección IP pública. Si este proceso de extracción está mal programado, puede haber un agujero de seguridad: un atacante inyecta un paquete de respuesta especial que aprovecha el fallo de programación para entrar en la máquina del cliente con los credenciales que esté corriendo el programa. Después de este proceso el cliente se conecta al servidor de configuración para actualizar la IP (si es necesario). Según como ocurra esto, alguien podría impersonar al servidor de configuración y aprovechar alguna deficiencia en el programa de actualización del cliente y en el protocolo de actualización para entar en su máquina. Ni siquiera hace falta. Con tomar nota de la contraseña que usa el cliente para acceder al servidor bastante daño puede hacer. hice una prueba con ethereal y vi que la contraseña no se envía en texto plano, no obstante está por comprobarse que no sea siempre la misma trama... Si la actualización se hace en un solo paso (i.e. hay un único servidor que se encarga de extraer la IP pública y de actualizar la configuración) el posible ataque sería similar al que se puede dar con un servidor de configuración. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED] -- Si a tu hijo no le das castigo, serás su peor enemigo. -- // //Rober Morales Chaparro // #include /* RMC'05 */ iostream class saludo { public: saludo(){ std::cout Hola; } ~saludo() { std::cout Mundo! ; } } ; int main() { saludo holamundo; }
Re: ssh - no-ip.org
El Jueves 08 Diciembre 2005 17:52, Rober Morales escribió: El Jueves, 8 de Diciembre de 2005 21:32, Ricardo Araoz escribió: Después de este proceso el cliente se conecta al servidor de configuración para actualizar la IP (si es necesario). Según como ocurra esto, alguien podría impersonar al servidor de configuración y aprovechar alguna deficiencia en el programa de actualización del cliente y en el protocolo de actualización para entar en su máquina. Ni siquiera hace falta. Con tomar nota de la contraseña que usa el cliente para acceder al servidor bastante daño puede hacer. hice una prueba con ethereal y vi que la contraseña no se envía en texto plano, no obstante está por comprobarse que no sea siempre la misma trama... Se manda codificada, pero no-ip está necesariamente en el medio. Yo mando una requisición de servicio a través de no-ip, no-ip la intercepta y manda la misma requisición al servidor, al recibir la respuesta (con el fingerprint de la clave privada del servidor y todo) me envía una copia de esta a mí (con su propia clave, y acá es donde tal vez falle el ataque ya que tiene que seleccionar una clave cuyo fingerprint coincida con el del servidor), luego yo me logueo y no-ip obtiene mi contraseña. Es dificil, pero.. es posible?