Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: (Opgelost) Beveiligingslekken in internet-protocol TCP.  (gelezen 3344 keer)

Offline HermanDegenhart

  • Lid
  • Steunpunt: Nee
(Opgelost) Beveiligingslekken in internet-protocol TCP.
« Gepost op: 2009/09/08, 22:55:29 »
Op deze webpage:  http://www.waarschuwingsdienst.nl/render.html?it=1990  waarschuwt de Waarschuwingsdienst voor beveiligingslekken in het internet-protocol TCP. De waarschuwing zou gelden voor meerdere besturingssystemen, dus naar ik veronderstel ook voor Linux. Meestal gaat het alleen over Windows, maar in dit geval dus niet. Ik mag veronderstellen dat de diverse Linux-ploegen hier al mee aan de slag zijn, maar het kan nooit kwaad alert te zijn. De vraag is dan ook: lopen de gebruikers van Ubuntu risico of niet?
« Laatst bewerkt op: 2009/10/22, 20:05:20 door HermanDegenhart »

Offline HermanDegenhart

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #1 Gepost op: 2009/09/08, 23:07:16 »
Met andere woorden, waar maak je je druk om?

Offline HermanDegenhart

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #2 Gepost op: 2009/09/08, 23:20:48 »
Zeer bedankt heer Arie. Ik zal voortaan braaf zijn.

Offline HermanDegenhart

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #3 Gepost op: 2009/09/08, 23:24:26 »
Precies daarom stelde ik die vraag.

Offline track

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #4 Gepost op: 2009/09/08, 23:46:39 »
En nog even iets bij de achtergrond:

Bekijk de betrokken systemen op  https://www.cert.fi/haavoittuvuudet/2008/tcp-vulnerabilities.html
(de bron van jouw artikel):  Er is in eerste instantie MS (! =D ), dan en een aantal routers e.d.,
en aan het eind Red Hat.      En wat is hun statement ?  Lees het:
Citaat van: http://kbase.redhat.com/faq/docs/DOC-18730
... Red Hat do not plan to release updates to resolve these issues; however, the effects of these attacks can be reduced.
En er volgt een korte handleiding om de  iptables  even aan te passen.
Maw.  Bij Linux hoef maar de veiligheidsinstellingen een beetje bij te schaven en je bent er.
Geen ruzie, geen lawaai, geen update, gewoon even de config bijschaven en klaar.

DAT is Linux.

track

Offline HermanDegenhart

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #5 Gepost op: 2009/09/09, 00:01:30 »
Heer Track, zoals u weet ben ik op technisch gebied een volstrekte kluns. Kan ik dat bijschaven zelf uitvoeren of gaat dat per update?

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #6 Gepost op: 2009/09/09, 00:20:43 »
    * een website hebben draaien op een eigen server (computer),
    * een blog hebben op een site die ze hosten op een eigen server,
    * een eigen mailserver hebben.
De Ubuntu server editie is daar wel geschikt voor, ja. Dus een hele valide vraag en ik snap geen snars van de uitleg.


En er volgt een korte handleiding om de  iptables  even aan te passen.
En daar staat bij:
Citaat
This is only an example. Mitigation should be dealt with on a site-by-site basis.
Enorm bedankt voor de link  :) maar feitelijk weet ik niet wat de oplossing is. Er zijn hier ook een aantal iptables regels actief. So?

Slaat de boodschap (Besturingssysteem: Diverse producten van verschillende leveranciers) van Waarschuwingsdienst.nl natuurlijk niet op Ubuntu?
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline track

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #7 Gepost op: 2009/09/09, 00:27:39 »
Heer Track, zoals u weet ben ik op technisch gebied een volstrekte kluns. Kan ik dat bijschaven zelf uitvoeren of gaat dat per update?
Als het er om gaat dat je je eigen webserver wilt beveiligen dan kun je het voorstel van red Hat gewoon over nemen.

Mits je geen eigen webserver zou heben ... nou ja, dan moet je √≥f een aanschaffen   ;)

of je luistert naar wat Arie boven al tegen je zei ...
... dat het voor jou gewoon niet van toepassing is.   =D

track.

Offline track

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #8 Gepost op: 2009/09/09, 00:34:06 »
testcees:
Nog een keer heel duidelijk: het gaat om webservers die toegankelijk zijn van buiten.
En daar om DOS- aanvallen.  Niet meer, niet minder.

En als dat een punt is voor jou kun je gewoon het voorstel van RH oppakken en die 4 regels
er bij zetten.

Hoe veel schade dit lek bij andere systemen kan doen (vastlopers soms ?) weet ik niet.

track

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #9 Gepost op: 2009/09/09, 01:34:29 »
Track: ook voor de duidelijk: ik gebruik de Ubuntu server editie onder meer als webserver die toegankelijk is van buiten.
En ik verwacht (klop, klop) geen DOS-aanval.

Het voorstel van RH heb ik aan mijn iptables toegevoegd. Gelukkig heb ik fysieke toegang tot de server want deze aanbeveling zorgde ervoor dat ik geen ssh verbinding meer kon maken voor een reboot op afstand. Een reboot was nodig omdat de server na de RH-aanbeveling niet meer werkte (server=transparant squid proxy middels iptables+dns).

Goed om te weten dat de fix bij jou wel werkt, dat is op Ubuntu server versie 9.04?
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline track

  • Lid
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #10 Gepost op: 2009/09/09, 01:43:18 »
Nee, ik heb geen publieke server. Alleen een interne op basis
van de desktop editie 8.04.  Dus heb ik er zelf niets mee te maken.
Ik heb alleen de teksten achter deze melding geänalyseerd.

track

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #11 Gepost op: 2009/09/09, 01:56:52 »
Ik zou ook zeker niet zomaar die regels opnemen in iptables als je niet weet wat het doet.

Ten eerste kan het een vals gevoel van veiligheid geven. Vals omdat het misschien totaal niet effectief is terwijl je daar wel vanuit gaat. Of het heeft gevolgen die veel vervelender zijn dan de aanval:

Ten tweede kan het normaal netwerkverkeer onmogelijk maken. Je blokkeert al het inkomende verkeer, tenzij er eerst een verbinding is gemaakt vanuit de server. Een SSH verbinding lukt dus niet, omdat het initiatief van buiten de server komt. Hetzelfde geldt voor een website: die is daarna onbereikbaar.

Bovendien kan je maar 10 nieuwe verbindingen maken per 5 minuten. Heb je een server die ook maar een beetje bezocht wordt, dan is die instelling niet haalbaar. Veel mensen zullen dan geen verbinding kunnen maken.

Wat die 2e regel doet weet ik ook niet precies, daarvoor zou ik de handleiding moeten lezen :)

Bottom line: Heb je een gewoon thuiscomputertje dan is er niks aan de hand. Niet gaan prutsen in je firewall want straks heb je helemaal geen verbinding meer.
Heb je een server: zorg dat je weet hoe je de firewall in kan stellen :)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #12 Gepost op: 2009/09/09, 08:59:33 »
Heb je een server: zorg dat je weet hoe je de firewall in kan stellen :)
Met iptables, dat is min-of-meer bekend. Het voorbeeld van RH is niet zomaar over te nemen, dat is duidelijk. rtfm?

Met andere woorden, waar maak je je druk om?
Het risico is slecht een DOS, dus waar maak ik me druk om...
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #13 Gepost op: 2009/09/09, 11:57:58 »
Meer informatie is ook op security.nl te vinden:

Microsoft heeft tijdens patchdinsdag ook een zeer ernstig beveiligingslek in TCP gedicht, waardoor het vrij eenvoudig is om webservers voor langere tijd uit te schakelen. Ook Cisco, Checkpoint en andere leveranciers kwamen met updates voor het probleem, dat in webservers, routers en firewalls aanwezig is. Het "Sockstress" probleem kwam voor het eerst in de Beveiligingsupdate podcast van 30 september vorig jaar aan het licht. Volgens Govcert is door de beperkte brandbreedte het moeilijk een aanval te detecteren, vooral omdat het netwerkverkeer van de aanvaller op heel gewoon legitiem netwerkverkeer lijkt. Dat toont meteen de ernst van het probleem aan, aangezien er weinig bandbreedte en minimale middelen nodig zijn om de aanval uit te voeren. De softwaregigant gaat in dit artikel dieper op de TCP-kwetsbaarheid in.

Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #14 Gepost op: 2009/09/09, 17:25:31 »
Als je even verder leest zie je dat de bug al in april 2008 is gepatcht in de kernel versie 2.6.25.
Dat zou betekenen dat alleen Dapper en Hardy nog kwetsbaar kunnen zijn. Die draaien nog op een iets oudere kernel.
Ik heb verder niet gezocht of die patch toch in Dapper/Hardy is opgenomen via een update.

Omdat Red Hat ook nog geen nieuwe kernel heeft, hebben zij een firewall scriptje online gezet.
Bij een nieuwere uitgave van RH is dat ook niet meer nodig. Dan stappen ze wel over naar een nieuwere kernel neem ik aan.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Beveiligingslekken in internet-protocol TCP.
« Reactie #15 Gepost op: 2009/09/09, 20:02:45 »
Johan, bedankt voor deze nuttige informatie. De 'waarschuwing' is voor mij nu duidelijk genoeg.
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/