Repository 32bit  Forum
Repository 64bit  Wiki

Domanda riguardante NFS.

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Domanda riguardante NFS.

Messaggioda mandrago » gio apr 05, 2012 11:45

Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie :)
mandrago
Linux 1.0
Linux 1.0
 
Messaggi: 30
Iscritto il: ven mar 30, 2012 17:13
Località: Arco (Trento)
Nome Cognome: Daniel
Slackware: 13.37
Kernel: 3.0.4
Desktop: XFCE4

Re: Domanda riguardante NFS.

Messaggioda masalapianta » gio apr 05, 2012 14:03

mandrago ha scritto:Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie :)

ammesso che si stia usando almeno nfsv3 (oppure nfsv2 con estensione proprietaria per l'uso di TCP in luogo di UDP), il problema diventa: è possibile fare spoofing al livello 3 della pila iso/osi? la risposta è "dipende"; se i client stanno nella stessa sottorete del server, basta cambiare ip (ed eventualmente usare tecniche di arp poisoning per sodomizzare l'atro client evitando così conflitti di ip), se invece si parla di sottoreti differenti bisogna tentare uno spoofing alla cieca (come da premesse parliamo di tcp), quindi devi riuscire in qualche modo ad indovinare il sequence number giusto con un numero di tentativi accettabile, ma riusciresti soltanto ad inviare dati al server senza poter ricevere alcunchè.
Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: Domanda riguardante NFS.

Messaggioda mandrago » gio apr 05, 2012 16:19

masalapianta ha scritto:
mandrago ha scritto:Oggi ho una domanda per voi che riguarda il servizio NFS.
Poniamo A come il server e B,C come il client.
Nel file /etc/exports di A è definito un indirizzo che è 192.168.0.2 (C) il quale ha diritto a montare la directory /home/mario.
E' possibile, spoofando l'indirizzo IP di B in quello di C , montare directory condivise da B non essendo tuttavia specificato nel file /etc/exports di A ?
Vi sono particolari filtri a riguardo ? Se si quali? Grazie :)

ammesso che si stia usando almeno nfsv3 (oppure nfsv2 con estensione proprietaria per l'uso di TCP in luogo di UDP), il problema diventa: è possibile fare spoofing al livello 3 della pila iso/osi? la risposta è "dipende"; se i client stanno nella stessa sottorete del server, basta cambiare ip (ed eventualmente usare tecniche di arp poisoning per sodomizzare l'atro client evitando così conflitti di ip), se invece si parla di sottoreti differenti bisogna tentare uno spoofing alla cieca (come da premesse parliamo di tcp), quindi devi riuscire in qualche modo ad indovinare il sequence number giusto con un numero di tentativi accettabile, ma riusciresti soltanto ad inviare dati al server senza poter ricevere alcunchè.
Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.

Questa è la risposta che mi interessava :) Dunque versioni a priori del nfsv4 sono teoricamente vulnerabili giusto ?
mandrago
Linux 1.0
Linux 1.0
 
Messaggi: 30
Iscritto il: ven mar 30, 2012 17:13
Località: Arco (Trento)
Nome Cognome: Daniel
Slackware: 13.37
Kernel: 3.0.4
Desktop: XFCE4

Re: Domanda riguardante NFS.

Messaggioda masalapianta » ven apr 06, 2012 10:39

mandrago ha scritto:
masalapianta ha scritto:Per evitare problemi di sicurezza come quello da te esposto, in nfsv4 è stato implementato un sistema di autenticazione basato su kerberos.

Questa è la risposta che mi interessava :) Dunque versioni a priori del nfsv4 sono teoricamente vulnerabili giusto ?

no, non è una vulnerabilità, le versioni 3 e precedenti di nfs sono _pensate_ per non dover operare in ambienti dove serve autenticazione, ed in quanto tali vanno utilizzate solo in tali ambienti (non è un bug, è così per design); se ti serve un protocollo che abbia un sistema di autenticazione, semplicemente va usato altro (nfsv4, smb, ecc..)
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 0 ospiti