| 0:00:16 | tak asi můžeme začít dobré ráno nejmenuje zelená rád bych vám před pověděly tou bezpečností |
|---|
| 0:00:22 | služeb na internetu |
|---|
| 0:00:24 | a jak je možné se schovat |
|---|
| 0:00:27 | momentálně pracuji v red hatu jako a |
|---|
| 0:00:30 | zpráva není ta nej ten open ssh |
|---|
| 0:00:34 | a zajímám se právě o bezpečnost to všeobecných software různých softwarových projektů |
|---|
| 0:00:43 | první otázka je |
|---|
| 0:00:45 | funguje to kdo z nás provozuje server na veřejné jít adrese |
|---|
| 0:00:51 | a jak já tam běží služby víte |
|---|
| 0:00:58 | tak nějak je nějaký nějaké příklady máte |
|---|
| 0:01:02 | o |
|---|
| 0:01:03 | post office reálné to přetáhne to sou ti vytvářím u media watch |
|---|
| 0:01:10 | nedíváme se znáš po |
|---|
| 0:01:13 | jenže nic ten server je tady například jsem včera sledoval jsem serveru |
|---|
| 0:01:20 | _e má nějaké té téčko které nám řeknete při přímo číslo verze serveru koupíme sedátko |
|---|
| 0:01:26 | verze |
|---|
| 0:01:27 | postfix a povídá nám to na |
|---|
| 0:01:32 | ne na a |
|---|
| 0:01:33 | klíče které používá tento server používat ukazuje na to certifikáty které používáme |
|---|
| 0:01:40 | a patch má také verzi dva čtyři kde se |
|---|
| 0:01:44 | ostřit sadov poběží na spoustě port _e |
|---|
| 0:01:47 | všude jsou publikovány certifikát i na nějakém vysokém botu běžně jak je to projet |
|---|
| 0:01:56 | takže zase povídáme zkusíme kdy to zas u mě jak roztřídit na jak to je |
|---|
| 0:02:01 | jak budou vypadat čemu sou jak jsou bezpečné a jak je nutné chránit podíváme se |
|---|
| 0:02:05 | jak se nedá útočit |
|---|
| 0:02:07 | podívám se jaksi takže můžeme bránit a nakonec vám představím program back no který |
|---|
| 0:02:14 | neboj jedna z možností jak se bránit |
|---|
| 0:02:17 | právě jestli ty svůj jak skrýt služby na internetu |
|---|
| 0:02:25 | slevy na internetu slovy dveře nějaké komunikace z okolí |
|---|
| 0:02:29 | mohou být buď veřejné střely služby které nebo nevíš na to pouze vy ale využívána |
|---|
| 0:02:35 | jí naši zákazníci naši čtenáři webu |
|---|
| 0:02:38 | nebo jiném já jsem některé mám prostě jinej mail nebo vy poznáte maily celých o |
|---|
| 0:02:46 | na tyto sliby jako jeden na požadavek na velkou dostupnost a tyto slovy nelze jednoduše |
|---|
| 0:02:52 | schovat ale na druhou stranu pokud na druhé straně může být těžší je zneužít a |
|---|
| 0:02:57 | pokud jsou zneužity ne nevede to k nějakým extra velký problém potom jsou co pro |
|---|
| 0:03:03 | soukromé služby |
|---|
| 0:03:05 | které mají omezený počet uživatelů většinou tam je se značkou které zlobíte správě serveru nebo |
|---|
| 0:03:12 | přístupu ke složkám mailu třeba i na |
|---|
| 0:03:16 | popřípadě ftp s nebo vás ftp |
|---|
| 0:03:19 | pokud jsou tyto sliby zneužity do čím se dostane ke správě všeho se budou může |
|---|
| 0:03:24 | změnit cokoliv může |
|---|
| 0:03:26 | nahrát soubory stahovat vaše soubory čítače maily což většinou nechcete |
|---|
| 0:03:37 | pokud tedy zkusíme že jaksi se za mnou ty útoky máme taky náhodné seš lze |
|---|
| 0:03:44 | ukázat na tom na předchozím slajdu jak jsem dělal ten scan s našel jsem byl |
|---|
| 0:03:48 | to prostě ne všechny boty a zjistí vedle veřejně dostupné informace potom možné zjistit jaké |
|---|
| 0:03:53 | verze software jsou použité na tomto serveru |
|---|
| 0:03:56 | a pokud je známa jak a zranitelnost pro tuto verzi je možné provést příslušným to |
|---|
| 0:04:02 | může být s použití výchozí hesel slož většinou neexistuje softwaru ale některé a prvé krabičky |
|---|
| 0:04:11 | modemy router i mají výchozí neslaná root a což může být problém pokud je toto |
|---|
| 0:04:16 | heslo dostupné na veřejné takže sem a na veřejném internetu |
|---|
| 0:04:21 | tyto náhonem taky jsou útoky lze použít potom pro pozdější cílem právě ti na a |
|---|
| 0:04:28 | různé věci potom jsou cíle ne u taky kdy je oblíbený pro hrubou silou kde |
|---|
| 0:04:32 | se prostě zkouší všechna nesla z nějakého rozsahu popřípadě c vyzkouší hesla která sou známe |
|---|
| 0:04:39 | nějaké jiné služby je |
|---|
| 0:04:41 | která vnikla nebo byla zjištěna nějakým jiným způsobem |
|---|
| 0:04:46 | opět zranitelnosti jsou publikované nebo jsou neznámé takže národní agentury mohou mít znalostí o nějaké |
|---|
| 0:04:52 | nebezpečnosti jako za ten republiková ne ale nevím o nich takže pro tím velmi těžké |
|---|
| 0:04:58 | se brání |
|---|
| 0:05:00 | jak se tedy můžeme bránit |
|---|
| 0:05:05 | na jednu stranu potřebné pro ty služby zajistí dostupnost |
|---|
| 0:05:09 | pro autorizované uživatele a roste potřebné zní zabrání přístup útočníků |
|---|
| 0:05:14 | běžný běžnou obranu jen je většinou nějaké aktivní sledování logů a případě že na |
|---|
| 0:05:21 | v lesích se vyskytuje příliš mnoho |
|---|
| 0:05:23 | pokusu z nějaké daný adresy tak to můžeme blokovat |
|---|
| 0:05:26 | tímto způsobem |
|---|
| 0:05:28 | funguje filtru ven |
|---|
| 0:05:30 | poslední verzi podporuje možná kromě tebe šest pomocí nějakých rozsahu jednoduchých |
|---|
| 0:05:36 | to byl problém ještě asi před rokem kdy to nebylo řádně implementované a některé šest |
|---|
| 0:05:41 | rozsah je obrovský a blokovat jednotlivé adresy nebo rozsahy ani jedno nebylo takový dám |
|---|
| 0:05:48 | tady jaký skrýš acyl tu benz nějakého |
|---|
| 0:05:51 | minulého roku kde je tam |
|---|
| 0:05:54 | šlo třeba tři sta pokusil přihlášení celá ze základen |
|---|
| 0:05:58 | a čistej bylo za byl zablokován |
|---|
| 0:06:02 | popřípadě luboš který není pragmatický ale agreguje logy a což může být užitečné pro administrátora |
|---|
| 0:06:09 | aby nemusel číst tak všechna konta všech klubů tak |
|---|
| 0:06:12 | dobu za kde co gregory a zobrazí si to je nechat to jednou za týden |
|---|
| 0:06:16 | poslat |
|---|
| 0:06:17 | potom může být pak pasivní to šest lidí služby na toto je na druhý straně |
|---|
| 0:06:23 | white listy čili neblokujeme uživatele na základě jejich chování ale povolujme pouze uživatelům |
|---|
| 0:06:29 | pro který chceme tu službu zpřístupnit |
|---|
| 0:06:32 | to může být port tam to můžeme použít portmonky což znamená poslání na nějaké sekvence |
|---|
| 0:06:40 | a |
|---|
| 0:06:41 | paketu na různé boty což otevře a nějaké pravidlo to lze implementovat pomocí ip table |
|---|
| 0:06:47 | nebo speciální softwaru |
|---|
| 0:06:49 | popřípadě řeknou co dyž který dělá prakticky to stejné |
|---|
| 0:06:54 | ale já to a scap to graficky bezpečně řekněme |
|---|
| 0:06:59 | že |
|---|
| 0:07:00 | tato sekvence nelze s pokutou na tebe no tak teda |
|---|
| 0:07:04 | potravin tak sekvenci venuše odposlouchávat sedíte na drátě mezi jedním serverem a uživatelem pokud jak |
|---|
| 0:07:13 | no tak to by nemělo být možné |
|---|
| 0:07:16 | takže cz no _e na ten formát file |
|---|
| 0:07:21 | jak to bylo |
|---|
| 0:07:23 | file nakopejte teleoperátory servo |
|---|
| 0:07:27 | na zaklepání |
|---|
| 0:07:29 | prakticky |
|---|
| 0:07:31 | tomto obrázku zemi je tady u nás |
|---|
| 0:07:35 | a je |
|---|
| 0:07:37 | na nějakou rovnicí |
|---|
| 0:07:39 | server |
|---|
| 0:07:41 | a pokud řekne připojit na ten server tak o co je mně poslat ester a |
|---|
| 0:07:47 | pak je který otevře |
|---|
| 0:07:50 | na for se zná |
|---|
| 0:07:52 | pro tuto zdrojů ten dres |
|---|
| 0:07:55 | pro všechny ostatní zdrojovej praze jestli bude tento server na tento port vidět jako uzavřený |
|---|
| 0:08:03 | takže dinasovostech čísluje je to znamená odepření přístupu všem účastníku všem dokud ročníku |
|---|
| 0:08:09 | není to samozřejmá vedle silných hesel je to pouze jakoby další vrstva bezpečnosti která nenahrazuje |
|---|
| 0:08:18 | silná hesla ale |
|---|
| 0:08:19 | jakoby rozšiřuje |
|---|
| 0:08:21 | na bezpečnost podobně jako selinux |
|---|
| 0:08:25 | nancy operační systém |
|---|
| 0:08:28 | autorizace pro otevření portu |
|---|
| 0:08:31 | tyto pokud máme tuto službu tak to je další služba která běží na dalším bloku |
|---|
| 0:08:35 | a to proto že bychom měli nějak chránit |
|---|
| 0:08:38 | pokud tato služba bych a nějaké další sliby |
|---|
| 0:08:41 | ale dost tento port není ten poplatek budete takže není vidět nebo |
|---|
| 0:08:47 | svůj barák vy nebudete pakety čili neodpovídá odesílateli čili není zjišťuji styděl na to zhruba |
|---|
| 0:08:55 | pomocí žádného scan který by útočil mám provést je to c kennedy nedetekovatelné že tato |
|---|
| 0:09:02 | služba běží na našem server |
|---|
| 0:09:05 | operace probíhají tím pak je ten a ten pakety neopakujte neupad neopakovatelný to znamená to |
|---|
| 0:09:11 | co nějaká náhodná data a je tyto graficky a šifrovaný pomocí symetrické šifry |
|---|
| 0:09:16 | a integrita ještě na pomocí věčná |
|---|
| 0:09:21 | ne naopak o tento |
|---|
| 0:09:23 | k tomu to |
|---|
| 0:09:26 | paketu potřebujeme dva klíče nesymetrickým asymetricky který šifruje tato data aby útočník nemohl přečíst ze |
|---|
| 0:09:33 | kterého na |
|---|
| 0:09:37 | pro kterou zanesu otvíráme port jaký port otevíráme popřípadě co děláme na tom se |
|---|
| 0:09:44 | du většina pro integritu |
|---|
| 0:09:48 | to asi není důležité |
|---|
| 0:09:50 | máme tady nultej praktickou ukázku na závěr |
|---|
| 0:09:55 | s tím to rychle proletět |
|---|
| 0:09:58 | _e |
|---|
| 0:09:59 | první co je potřeba je potřeba vytvořit klíče |
|---|
| 0:10:02 | mám time otřesné znázornění |
|---|
| 0:10:05 | názorně no adresu server u |
|---|
| 0:10:08 | a červeně adresu klienta |
|---|
| 0:10:11 | na klientovi televizi na nějaký pomocí přepínače tý je týden to rezek no |
|---|
| 0:10:17 | to tvoří je to jedno pracoval soubor ve kterém jsou tyto kýče uložený a uloženo |
|---|
| 0:10:23 | na rekonfigurace |
|---|
| 0:10:25 | pruhu jako u klienta |
|---|
| 0:10:28 | podobný soubor musíme udělat také na serveru |
|---|
| 0:10:32 | takže na návraty klíčové vypadají tady máme |
|---|
| 0:10:36 | zdroj jestli to že to je ta cílový si cože kam jsem šel sem |
|---|
| 0:10:43 | podobných ty podobných soubojích si na to že také na serveru kde máme a |
|---|
| 0:10:48 | naopak |
|---|
| 0:10:50 | adresu kterou povolené čili adresu klienta tam může bejt nastavená kdy na nastavíte na dynamický |
|---|
| 0:10:55 | s paketů nebo |
|---|
| 0:10:57 | může být nějaký white list pro nějaký rozsah který povolená |
|---|
| 0:11:01 | opět sou to ty dva stejné týče |
|---|
| 0:11:04 | pro tu symetrickou šifru a toho většina |
|---|
| 0:11:11 | a tam jezdí změn ještě port který otvíráme čili dvacetdva se za |
|---|
| 0:11:18 | to jsou access conf který |
|---|
| 0:11:23 | jo tady |
|---|
| 0:11:24 | to je teda klient technická krát se rovná ta stejná |
|---|
| 0:11:28 | máme přepínač store který nám říká že můžeme na to otevřít jako |
|---|
| 0:11:34 | ten port pro jakoukoliv víte adresu zdroje |
|---|
| 0:11:38 | deamona spustíme pomocí systém kontrol nebo pomocí |
|---|
| 0:11:44 | je jen i cenově si |
|---|
| 0:11:48 | poté co vyzkoušíme s klienta poslat |
|---|
| 0:11:51 | _e no tak |
|---|
| 0:11:55 | _e |
|---|
| 0:11:57 | na server uvidíme bloků že tento paket byl přijat |
|---|
| 0:12:01 | string tam neuvidíme nízkej této poslat paket pouze a nedozvíme se jestli tu ještě se |
|---|
| 0:12:07 | uvidíme |
|---|
| 0:12:08 | to jsme dostali ste to vývar jestli paket který prošel nebo je vpořádku |
|---|
| 0:12:13 | ale tato služba je stále viditelná služba se zastavíte pokud tím _e |
|---|
| 0:12:18 | portského tak se opět dozvíme zná klíče |
|---|
| 0:12:21 | dozvíme se verzi bundu verzi a process a |
|---|
| 0:12:27 | a prakticisme zedníka nebo ste |
|---|
| 0:12:29 | takže jestli bosky tím skryjeme za firewall jedná se o takzvanou kdy filtru poli si |
|---|
| 0:12:33 | to znamená že existující spojení nejsou přerušena |
|---|
| 0:12:37 | ale nová spojení nejsou navázána |
|---|
| 0:12:41 | to sou tyto dvě pravidla ip tables nebo a file tý lze toto napsat ten |
|---|
| 0:12:47 | řádek |
|---|
| 0:12:49 | a pokud mým pustíme _e scan a scan tohoto serveru tak se dozvíme a tento |
|---|
| 0:12:56 | port je filtrování znamená že neodpovídá |
|---|
| 0:13:02 | jiný pokud se chceme připojit tak připojit na tento server tak tam ssh zahlásí |
|---|
| 0:13:08 | že neexistuje cesta k hostovi nebo připojení bylo odmítnuto nebo spojení je tady montoval |
|---|
| 0:13:16 | ale po zaslání |
|---|
| 0:13:18 | ester a paketu nebo ve k no |
|---|
| 0:13:21 | sedum se na ssh můžeme připojit |
|---|
| 0:13:24 | logo opět najdeme že |
|---|
| 0:13:27 | tento paket sme dostali a přidali ne pravidlo firewallů které povoluje |
|---|
| 0:13:34 | nové spojení s této být této konkrétní plán jestli |
|---|
| 0:13:39 | tak to umíme skrýt a se na server file stejný |
|---|
| 0:13:42 | způsobem ženskej jakoukoliv jinou sortu a firewall |
|---|
| 0:13:46 | a ať to _e se a ftp nebo no ne s nebo |
|---|
| 0:13:52 | pokud chcete schováváš ji mailovy server přes nima |
|---|
| 0:13:56 | není problém |
|---|
| 0:13:58 | porty lze omezovat na black list white list na serveru |
|---|
| 0:14:03 | které se povolují |
|---|
| 0:14:06 | v extrému ze spouště pomocí tohoto single |
|---|
| 0:14:09 | dneska paketu dokonce příkazy |
|---|
| 0:14:13 | pokud je to povolené konfiguraci |
|---|
| 0:14:15 | toto je implementována právě kvůli možnosti ovládat jakoby nějaký jiný file nemám ten file který |
|---|
| 0:14:23 | má na tom počítači mohl pokud máte nějakou |
|---|
| 0:14:26 | pocítíš kde máte více nějakých extern firewall tak |
|---|
| 0:14:31 | to můžete tak to ovládat |
|---|
| 0:14:34 | lze použít asymetrickou kdy to grafy jpg ale tam je omezení velikosti klíče na velikost |
|---|
| 0:14:40 | paketu na mi nějaký tisíc za ty čtyři bitů pouze pokud se použije větší také |
|---|
| 0:14:46 | ten zašifrovaný pakety větší nešel internetový rámec _e to může |
|---|
| 0:14:51 | nezkusila problémy existují grafické nástroje pro posílání paketů |
|---|
| 0:14:57 | _e kromě gui pro android iphone a nebo a na desktop |
|---|
| 0:15:02 | což může být užitečné pokud cestujete a potřebujete poslat |
|---|
| 0:15:07 | a kec telefonu není tak přihlašujete se na nějakém cizím počítači |
|---|
| 0:15:12 | a nebo |
|---|
| 0:15:15 | něco takového |
|---|
| 0:15:17 | tam je výhoda že tom telefonu decorating adresu jako máte počítat veřejnou a ten telefon |
|---|
| 0:15:22 | vám bude nebo odevře ten plot který máte proč je stane ten telefon |
|---|
| 0:15:28 | problémy můžou nastat tu chvíli kdy ňáká c bloku jak budete provoz což se může |
|---|
| 0:15:33 | stát na letišti ne u nějakých hotelích |
|---|
| 0:15:37 | tu chvíli je dobry ni právě to ten efekt například telefonu nemáte mobilní data kde |
|---|
| 0:15:42 | a to není blokované |
|---|
| 0:15:48 | to je ode mě všechno pravděpodobně takže jestli máte nějaké dotazy |
|---|
| 0:15:54 | prosím |
|---|
| 0:16:02 | buď můžete být ve všech si víc nebo míň nebo víc nic míň nejvíce stejný |
|---|
| 0:16:06 | rychle sem |
|---|
| 0:16:09 | server na server unnest více |
|---|
| 0:16:11 | více klíčů které jsou akceptované |
|---|
| 0:16:20 | tam je na tam je tady mám tu znám dost těch úloh nám tady vteřinka |
|---|
| 0:16:29 | tady na jo error tady dole je napsáno |
|---|
| 0:16:33 | _e větru |
|---|
| 0:16:35 | a jsme přidali pravidlo o |
|---|
| 0:16:39 | a tady nějaký navyklí třicet sekund nebo šedesát jako a |
|---|
| 0:16:46 | a poté zavřen pro všechny |
|---|
| 0:16:49 | což znamená ale to neznamená že by ta podprostor spojení byl přerušen |
|---|
| 0:16:54 | to je právě to defakto police ano |
|---|
| 0:17:05 | ano nějaké takové možnosti tam podle mě to u klienta a jen to nebo se |
|---|
| 0:17:09 | tu byli |
|---|
| 0:17:10 | a _e nevím to z hlavy |
|---|
| 0:17:12 | na aby tam mít na dveře té prostě pravidlo ip tables nafajluju |
|---|
| 0:17:16 | které lze přidat zmínit |
|---|
| 0:17:26 | je hodnota céčku no to by portovat ale na jakékoliv |
|---|
| 0:17:32 | minimalistické zařízení protože vím vývojáři tohoto z hotelu právě proto to cíl nějaký předchozí předchůdce |
|---|
| 0:17:40 | tohoto software byl nějakej a interval nějaké takové zrůdnosti ale to tam implementovat céčku |
|---|
| 0:17:46 | _e s minimálním na závislost na |
|---|
| 0:17:48 | aby to bylo spustitelné právě na těch tom malý zařízeních |
|---|
| 0:17:52 | a je to tak to fungovalo |
|---|
| 0:17:56 | takže mělo by to fungovat |
|---|
| 0:17:59 | ano |
|---|
| 0:18:12 | signál že |
|---|
| 0:18:13 | tady není to von si konfiguraci to určitě bude minimálně při gildu se vybírá jestli |
|---|
| 0:18:19 | chcete mít jaké ip pytel firewall ví |
|---|
| 0:18:23 | nebo uvést nebo něco takovýho |
|---|
| 0:18:26 | že tam je tam jsou možná přepínače konfiguraci |
|---|
| 0:18:32 | doma si ale tyhle a máme file volí |
|---|
| 0:18:38 | někdo |
|---|
| 0:18:42 | někdo chce vědět jak se to je prostě dvacet zas je to aplikaci aplikace prakticky |
|---|
| 0:18:50 | vyzval |
|---|
| 0:18:51 | a ano prakticky tam je vpodstatě formulář kde sou jednotlivý políčka které se o tom |
|---|
| 0:18:57 | konfiguračního souboru a pak je tam tlačítko poslat no |
|---|
| 0:19:02 | no tak jednoduché minimalistické toho teska |
|---|
| 0:19:11 | a se a |
|---|
| 0:19:14 | adresa která se má povolit pohodě |
|---|
| 0:19:25 | jo celé sme měli špatnou zem a může se tady je tady konfigurák na nervy |
|---|
| 0:19:33 | a tady je no a jaký je já |
|---|
| 0:19:38 | a je to by teoreticky bezpečně že se otvírá odezvu která je tom paketu a |
|---|
| 0:19:43 | ne pro takové odesílatel která může být nějak podložená a mohla by |
|---|
| 0:19:49 | otevřít přístup útočníkovi |
|---|
| 0:19:55 | ještě ve dvě minuty _e já další |
|---|
| 0:20:00 | někdo víc jako zajímá jaksi schovat server |
|---|
| 0:20:06 | ano ne nejde tímto nebo není to schovat lapače nebo něco takového |
|---|
| 0:20:12 | protože tam se spouští no ho procesu nebudu ten |
|---|
| 0:20:23 | to jsem zkoušel nepodařilo sem minimálně jakým vešel já jsem nebo funkcí |
|---|
| 0:20:30 | chtěl jsem to vyzkoušet ale jako nedostala bych to podporoval ale prakticky by to mělo |
|---|
| 0:20:36 | jít nějak pomocí proxi comment |
|---|
| 0:20:42 | já už |
|---|
| 0:20:44 | vlastní přesně tak |
|---|
| 0:20:47 | ale nepodařilo se mi chce |
|---|
| 0:20:54 | tak jo tak tím pádem děkuji za pozornost a pokud veškerá s je to napadne |
|---|
| 0:20:59 | takže ta někde můžete najít během těchto dvou |
|---|