Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie
Domanda riguardante NFS.
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Re: Domanda riguardante NFS.
ammesso che si stia usando almeno nfsv3 (oppure nfsv2 con estensione proprietaria per l'uso di TCP in luogo di UDP), il problema diventa: è possibile fare spoofing al livello 3 della pila iso/osi? la risposta è "dipende"; se i client stanno nella stessa sottorete del server, basta cambiare ip (ed eventualmente usare tecniche di arp poisoning per sodomizzare l'atro client evitando così conflitti di ip), se invece si parla di sottoreti differenti bisogna tentare uno spoofing alla cieca (come da premesse parliamo di tcp), quindi devi riuscire in qualche modo ad indovinare il sequence number giusto con un numero di tentativi accettabile, ma riusciresti soltanto ad inviare dati al server senza poter ricevere alcunchè.mandrago ha scritto:Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie
Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.
-
- Linux 0.x
- Messaggi: 30
- Iscritto il: ven 30 mar 2012, 18:13
- Slackware: 13.37
- Kernel: 3.0.4
- Desktop: XFCE4
Re: Domanda riguardante NFS.
Questa è la risposta che mi interessava Dunque versioni a priori del nfsv4 sono teoricamente vulnerabili giusto ?masalapianta ha scritto:ammesso che si stia usando almeno nfsv3 (oppure nfsv2 con estensione proprietaria per l'uso di TCP in luogo di UDP), il problema diventa: è possibile fare spoofing al livello 3 della pila iso/osi? la risposta è "dipende"; se i client stanno nella stessa sottorete del server, basta cambiare ip (ed eventualmente usare tecniche di arp poisoning per sodomizzare l'atro client evitando così conflitti di ip), se invece si parla di sottoreti differenti bisogna tentare uno spoofing alla cieca (come da premesse parliamo di tcp), quindi devi riuscire in qualche modo ad indovinare il sequence number giusto con un numero di tentativi accettabile, ma riusciresti soltanto ad inviare dati al server senza poter ricevere alcunchè.mandrago ha scritto:Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie
Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Re: Domanda riguardante NFS.
no, non è una vulnerabilità, le versioni 3 e precedenti di nfs sono _pensate_ per non dover operare in ambienti dove serve autenticazione, ed in quanto tali vanno utilizzate solo in tali ambienti (non è un bug, è così per design); se ti serve un protocollo che abbia un sistema di autenticazione, semplicemente va usato altro (nfsv4, smb, ecc..)mandrago ha scritto:Questa è la risposta che mi interessava Dunque versioni a priori del nfsv4 sono teoricamente vulnerabili giusto ?masalapianta ha scritto: Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.