Domanda riguardante NFS.

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
mandrago
Linux 0.x
Linux 0.x
Messaggi: 30
Iscritto il: ven 30 mar 2012, 18:13
Slackware: 13.37
Kernel: 3.0.4
Desktop: XFCE4

Domanda riguardante NFS.

Messaggio da mandrago »

Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie :)

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: Domanda riguardante NFS.

Messaggio da masalapianta »

mandrago ha scritto:Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie :)
ammesso che si stia usando almeno nfsv3 (oppure nfsv2 con estensione proprietaria per l'uso di TCP in luogo di UDP), il problema diventa: è possibile fare spoofing al livello 3 della pila iso/osi? la risposta è "dipende"; se i client stanno nella stessa sottorete del server, basta cambiare ip (ed eventualmente usare tecniche di arp poisoning per sodomizzare l'atro client evitando così conflitti di ip), se invece si parla di sottoreti differenti bisogna tentare uno spoofing alla cieca (come da premesse parliamo di tcp), quindi devi riuscire in qualche modo ad indovinare il sequence number giusto con un numero di tentativi accettabile, ma riusciresti soltanto ad inviare dati al server senza poter ricevere alcunchè.
Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.

mandrago
Linux 0.x
Linux 0.x
Messaggi: 30
Iscritto il: ven 30 mar 2012, 18:13
Slackware: 13.37
Kernel: 3.0.4
Desktop: XFCE4

Re: Domanda riguardante NFS.

Messaggio da mandrago »

masalapianta ha scritto:
mandrago ha scritto:Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie :)
ammesso che si stia usando almeno nfsv3 (oppure nfsv2 con estensione proprietaria per l'uso di TCP in luogo di UDP), il problema diventa: è possibile fare spoofing al livello 3 della pila iso/osi? la risposta è "dipende"; se i client stanno nella stessa sottorete del server, basta cambiare ip (ed eventualmente usare tecniche di arp poisoning per sodomizzare l'atro client evitando così conflitti di ip), se invece si parla di sottoreti differenti bisogna tentare uno spoofing alla cieca (come da premesse parliamo di tcp), quindi devi riuscire in qualche modo ad indovinare il sequence number giusto con un numero di tentativi accettabile, ma riusciresti soltanto ad inviare dati al server senza poter ricevere alcunchè.
Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.
Questa è la risposta che mi interessava :) Dunque versioni a priori del nfsv4 sono teoricamente vulnerabili giusto ?

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: Domanda riguardante NFS.

Messaggio da masalapianta »

mandrago ha scritto:
masalapianta ha scritto: Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.
Questa è la risposta che mi interessava :) Dunque versioni a priori del nfsv4 sono teoricamente vulnerabili giusto ?
no, non è una vulnerabilità, le versioni 3 e precedenti di nfs sono _pensate_ per non dover operare in ambienti dove serve autenticazione, ed in quanto tali vanno utilizzate solo in tali ambienti (non è un bug, è così per design); se ti serve un protocollo che abbia un sistema di autenticazione, semplicemente va usato altro (nfsv4, smb, ecc..)

Rispondi