Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Wat kunt je doen om een ongewenst domein/IP te weren?
05-09-2016, 17:25 door Anoniem, 10 reacties
Domein
Een domein wordt uitgegeven door een zone beheerder. Er zijn tegenwoordig vele top level domeinen (tld's). De lijst van tld's wordt bijgehouden door IANA: http://www.iana.org/domains/root/db
Veel tld's draaien een whois server, ze worden vermeld in de IANA lijst. Door het uitvoeren van een whois query kun je achterhalen wie het domein heeft geregistreerd, en ook andere details, zoals de verkoper en een technisch en administratief contact adres. Soms staat er ook informatie in waar je security klachten kan melden.
Je kunt domeinen controleren op blacklists, de meest gebruikte toepassing is een DNSBL (DNS Blacklist), zoals DBL van Spamhaus. Er zijn online ook diensten die domeinen controleren, bijvoorbeeld https://www.virustotal.com/ (van Google) of Google's Safe Browsing service https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html en WOT (https://www.mywot.com/).
Als je domeinen wilt weren uit email kun je gebruik maken van een URI DNSBL. Als het domein daar niet op staat kun je het zelf blacklisten op je lokale lijst (dat kan met SpamAssassin https://spamassassin.apache.org/).
Domeinen en hosts kunnen ook effectief worden geblokkeerd door ze toe te voegen aan de lokale hosts file met bijvoorbeeld localhost als doel. Dit kan ook via RPZ (Response policy zone) dat draait op Bind op een lokale name server. https://en.wikipedia.org/wiki/Response_policy_zone. Een aantal blacklistbeheerders bied RPZ aan als een dienst.
Dig - host - nslookup
Via deze programma's kun je DNS records achterhalen die betrekking hebben op het domein. Met ANY kun je aangeven dat je alle bij de DNS server bekende records kunt opvragen, dat is doorgaans alleen uit de cache. Je kunt records opvragen bij je eigen DNS server of rechtstreeks bij de server die het domein serveert.
Uit het SOA (Start of Authority) record kun je bijvoorbeeld afleiden welk email adres is opgegeven. Het A record geeft vaak het IP nummer van een web server, die kun je controleren op IP blacklists, zoals ZEN van Spamhaus https://www.spamhaus.org/. Cisco beheert de Senderbase reputatielijst: https://www.senderbase.org/
IP nummers hebben ook een eigen whois dienst. Daarmee kun je nagaan wie de eigenaar is van het IP block.
Ongewenste IP's kunnen worden geblokkeerd op de firewall.
Er zijn uiteraard nog talloze andere mogelijkheden.
Een domein wordt uitgegeven door een zone beheerder. Er zijn tegenwoordig vele top level domeinen (tld's). De lijst van tld's wordt bijgehouden door IANA: http://www.iana.org/domains/root/db
Veel tld's draaien een whois server, ze worden vermeld in de IANA lijst. Door het uitvoeren van een whois query kun je achterhalen wie het domein heeft geregistreerd, en ook andere details, zoals de verkoper en een technisch en administratief contact adres. Soms staat er ook informatie in waar je security klachten kan melden.
Je kunt domeinen controleren op blacklists, de meest gebruikte toepassing is een DNSBL (DNS Blacklist), zoals DBL van Spamhaus. Er zijn online ook diensten die domeinen controleren, bijvoorbeeld https://www.virustotal.com/ (van Google) of Google's Safe Browsing service https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html en WOT (https://www.mywot.com/).
Als je domeinen wilt weren uit email kun je gebruik maken van een URI DNSBL. Als het domein daar niet op staat kun je het zelf blacklisten op je lokale lijst (dat kan met SpamAssassin https://spamassassin.apache.org/).
Domeinen en hosts kunnen ook effectief worden geblokkeerd door ze toe te voegen aan de lokale hosts file met bijvoorbeeld localhost als doel. Dit kan ook via RPZ (Response policy zone) dat draait op Bind op een lokale name server. https://en.wikipedia.org/wiki/Response_policy_zone. Een aantal blacklistbeheerders bied RPZ aan als een dienst.
Dig - host - nslookup
Via deze programma's kun je DNS records achterhalen die betrekking hebben op het domein. Met ANY kun je aangeven dat je alle bij de DNS server bekende records kunt opvragen, dat is doorgaans alleen uit de cache. Je kunt records opvragen bij je eigen DNS server of rechtstreeks bij de server die het domein serveert.
Uit het SOA (Start of Authority) record kun je bijvoorbeeld afleiden welk email adres is opgegeven. Het A record geeft vaak het IP nummer van een web server, die kun je controleren op IP blacklists, zoals ZEN van Spamhaus https://www.spamhaus.org/. Cisco beheert de Senderbase reputatielijst: https://www.senderbase.org/
IP nummers hebben ook een eigen whois dienst. Daarmee kun je nagaan wie de eigenaar is van het IP block.
Ongewenste IP's kunnen worden geblokkeerd op de firewall.
Er zijn uiteraard nog talloze andere mogelijkheden.
Reacties (10)
Door Anoniem: Oke gefeliciteerd. en nu?
Ik snap het punt ook niet, dit lijkt mij meer iets voor een persoonlijk weblog.
06-09-2016, 11:41 door
Erik van Straten
Ik waardeer dit soort bijdragen wel. Ik vind het heel interessant te zien hoe anderen security problemen op proberen te lossen; ook al is het verhaal niet perfect, bijna altijd steek ik er wel iets van op.
De context (wat is het probleem, waarom schrijft de auteur dit, wie is de doelgroep) ontbreekt, maar iedereen die gaat schrijven moet ooit beginnen en dat is nou eenmaal vallen en opstaan.
Door vette kopjes en clickable URL's te gebruiken is het wel aangenaam lezen. De auteur heeft duidelijk zijn best gedaan en er serieus tijd in gestopt. Chapeau, en laat je niet ontmoedigen door negatieve reacties zonder onderbouwing!
De context (wat is het probleem, waarom schrijft de auteur dit, wie is de doelgroep) ontbreekt, maar iedereen die gaat schrijven moet ooit beginnen en dat is nou eenmaal vallen en opstaan.
Door vette kopjes en clickable URL's te gebruiken is het wel aangenaam lezen. De auteur heeft duidelijk zijn best gedaan en er serieus tijd in gestopt. Chapeau, en laat je niet ontmoedigen door negatieve reacties zonder onderbouwing!
Waarom dit niet in je browser geinstalleerd, bijv. voor chrome: https://chrome.google.com/webstore/detail/block-site/eiimnmioipafcokbfikbljfdeojpcgbh
Omschreven als: ////
Stay focused and let Block Site automatically blocks websites of your choice. Best for procrastination problem
Add a website you want to block in the options and it is automatically blocked. When you try to go to this page it will be redirected to a special blocked website with our mascot Mr. Wips.
If you want to set another redirect page, you can do it for each website separate or set a default redirect page.////
Een leuke verzameling blocklists: https://zeltser.com/malicious-ip-blocklists/
Een van de vele checks met voorbeeld: http://dpivst.com/en/ireport/downxia.com
Succes gewenst en veel genoegen.
Rapporteer verder ook op WOT voor de verbeterde beveilging van de gemeenschap.
Omschreven als: ////
Stay focused and let Block Site automatically blocks websites of your choice. Best for procrastination problem
Add a website you want to block in the options and it is automatically blocked. When you try to go to this page it will be redirected to a special blocked website with our mascot Mr. Wips.
If you want to set another redirect page, you can do it for each website separate or set a default redirect page.////
Een leuke verzameling blocklists: https://zeltser.com/malicious-ip-blocklists/
Een van de vele checks met voorbeeld: http://dpivst.com/en/ireport/downxia.com
Succes gewenst en veel genoegen.
Rapporteer verder ook op WOT voor de verbeterde beveilging van de gemeenschap.
Prima. Vergeet echter niet dat vanuit windows een verbinding met het boze internet kan worden opgezet die de hosts file negeert.
Vanaf Windows XP SP2 staan er al hardcoded dns naar ip adressen in voor een aantal servers van bijv. windows update in dnsapi.dll. Dat is een geweldig slecht idee, om meer redenen dan ik kan opnoemen.
Met Windows 10, en natuurlijk ook in 7 en 8 met de telemetry waanzin staan er nog veel meer hardcoded verbindingen in, die je niet kunt blokkeren in je hosts file.
Chrome is van Google, Google verzamelt gegevens om die te vekopen, en Chrome is dus geprogrammeerd om standaard de dns van Google te gebruiken. Die negeert dus de lokale hosts. UITZETTEN: Prefetch resources to load pages more quickly .
Een pihole of niet lokale firewall bij router draaien, al dan niet virtueel, is wel een oplossing.
Vanaf Windows XP SP2 staan er al hardcoded dns naar ip adressen in voor een aantal servers van bijv. windows update in dnsapi.dll. Dat is een geweldig slecht idee, om meer redenen dan ik kan opnoemen.
Met Windows 10, en natuurlijk ook in 7 en 8 met de telemetry waanzin staan er nog veel meer hardcoded verbindingen in, die je niet kunt blokkeren in je hosts file.
Chrome is van Google, Google verzamelt gegevens om die te vekopen, en Chrome is dus geprogrammeerd om standaard de dns van Google te gebruiken. Die negeert dus de lokale hosts. UITZETTEN: Prefetch resources to load pages more quickly .
Een pihole of niet lokale firewall bij router draaien, al dan niet virtueel, is wel een oplossing.
Zie hier het bewijs dat Google het ook doet: http://www.benedelman.org/hardcoding/
De beveiligingsstandaard van M$ is eigenlijk bar slecht. Het hard-gecodeerd omzeilen van de host file en DNS maakt de weg vrij voor komende modificaties van de netwerk stack. Een teken aan de wand m.i.
Gezien de weg die deze platforms opgaan (Chrome en M$) komen we uiteindelijk uit op een gebruikerservaring van een OS platform dat veel wegheeft van een mix van een opgetuigde web TV en een geavanceerde Xbox.
Helaas en dat zegt iemand die eerder een cursus NT4 en de kernel volgde toen dat OS op linux-locaties moest worden uitgerold in allerlei ziekenhuizen en transport-firma's met name. Ik spreek nu over het begin dezer eeuw. Ik ben dus geen M$ basher an sich of een linux fanboy.. Het is een globaler probleem van het monopolistisch protectionisme van heden ten dage en moet duidelijk gemaakt worden.
M$ heeft er met hun buiten-industrie-standaard en niet compatibel cross platform gebruik met uitgebreide LDAP en kerberos-achtige authenticatie en Digital Rights Beperkingen, die willekeurig producten of diensten niet langer beschikbaar maken/toestaan zelf naar gestreefd.
M$ kan dus voortaan, wanneer het hen of een kwaadwillend bewind zint, iedere gebruiker afsluiten van hun diensten.
De beveiligingsstandaard van M$ is eigenlijk bar slecht. Het hard-gecodeerd omzeilen van de host file en DNS maakt de weg vrij voor komende modificaties van de netwerk stack. Een teken aan de wand m.i.
Gezien de weg die deze platforms opgaan (Chrome en M$) komen we uiteindelijk uit op een gebruikerservaring van een OS platform dat veel wegheeft van een mix van een opgetuigde web TV en een geavanceerde Xbox.
Helaas en dat zegt iemand die eerder een cursus NT4 en de kernel volgde toen dat OS op linux-locaties moest worden uitgerold in allerlei ziekenhuizen en transport-firma's met name. Ik spreek nu over het begin dezer eeuw. Ik ben dus geen M$ basher an sich of een linux fanboy.. Het is een globaler probleem van het monopolistisch protectionisme van heden ten dage en moet duidelijk gemaakt worden.
M$ heeft er met hun buiten-industrie-standaard en niet compatibel cross platform gebruik met uitgebreide LDAP en kerberos-achtige authenticatie en Digital Rights Beperkingen, die willekeurig producten of diensten niet langer beschikbaar maken/toestaan zelf naar gestreefd.
M$ kan dus voortaan, wanneer het hen of een kwaadwillend bewind zint, iedere gebruiker afsluiten van hun diensten.
Hard coding van een IP is een slecht idee, waarom?
O.a.
https://sbforge.org/sonar/rules/show/squid:S1313?layout=false
IP addresses should not be hardcoded
squid : S1313
Hardcoding an IP address into source code is a bad idea for several reasons:
a recompile is required if the address changes
it forces the same address to be used in every environment (dev, sys, qa, prod)
it places the responsibility of setting the value to use in production on the shoulders of the developer
Noncompliant Code Example
String ip = "127.0.0.1";
Socket socket = new Socket(ip, 6667);
Compliant Solution
String ip = System.getProperty("myapplication.ip");
Socket socket = new Socket(ip, 6667);
O.a.
https://sbforge.org/sonar/rules/show/squid:S1313?layout=false
IP addresses should not be hardcoded
squid : S1313
Hardcoding an IP address into source code is a bad idea for several reasons:
a recompile is required if the address changes
it forces the same address to be used in every environment (dev, sys, qa, prod)
it places the responsibility of setting the value to use in production on the shoulders of the developer
Noncompliant Code Example
String ip = "127.0.0.1";
Socket socket = new Socket(ip, 6667);
Compliant Solution
String ip = System.getProperty("myapplication.ip");
Socket socket = new Socket(ip, 6667);
TS hier. Het klopt dat de hosts file te omzeilen is, als er al software (malware) aanwezig is op de computer die dat doet. Als je eenmaal code hebt draaien, dus ook na een besmetting, kan veel. DNS queries zijn vrij qua implementatie en je kunt ook met de officiële Microsoft DNSAPI de hosts file overslaan. Helaas, dat is nu eenmaal zo. Sommige virussen en trojans gebruiken een open name server. En er is simpele malware dat helemaal geen DNS gebruikt, zo zijn er oude email-wormen die maar wat gokken om aan de naam van een mail server te maken (mx1.[naam], mail.[naam], etc.).
Zoals genoemd door "09:51 door Anoniem" is een effectieve maatregel het gebruik van een goede externe firewall met een blacklist mogelijkheid. In de praktijk zul je dat niet vaak aantreffen bij thuisgebruikers, een hosts file of lokale firewall voor enigszins gevorderde thuisgebruikers is pragmatisch het best haalbare in de meeste gevallen. (Semi-)professionele gebruikers met een eigen netwerk kunnen voor een aanvaardbaar bedrag een firewall aanschaffen en inrichten. Dat is sowieso een goed idee. Daarnaast is een RPZ server zeer aanbevelenswaardig, met name één die in staat is te blokkeren op alle soorten DNS queries.
Met een goede firewall kun je als security geïntresseerde ook andere leuke dingen doen zoals het redirecten van alle DNS traffic dat niet via de ingestelde name servers verloopt naar je eigen name server, die op zijn beurt weer alles oplost naar je eigen honeypot web, mail, etc. server. Daarmee kun je potentiële malware in het netwerk opsporen.
Zoals genoemd door "09:51 door Anoniem" is een effectieve maatregel het gebruik van een goede externe firewall met een blacklist mogelijkheid. In de praktijk zul je dat niet vaak aantreffen bij thuisgebruikers, een hosts file of lokale firewall voor enigszins gevorderde thuisgebruikers is pragmatisch het best haalbare in de meeste gevallen. (Semi-)professionele gebruikers met een eigen netwerk kunnen voor een aanvaardbaar bedrag een firewall aanschaffen en inrichten. Dat is sowieso een goed idee. Daarnaast is een RPZ server zeer aanbevelenswaardig, met name één die in staat is te blokkeren op alle soorten DNS queries.
Met een goede firewall kun je als security geïntresseerde ook andere leuke dingen doen zoals het redirecten van alle DNS traffic dat niet via de ingestelde name servers verloopt naar je eigen name server, die op zijn beurt weer alles oplost naar je eigen honeypot web, mail, etc. server. Daarmee kun je potentiële malware in het netwerk opsporen.
Beste TS,
We kunnen dus ook als thuisgebruikers eigenlijk niet goed zonder externe FW en blokkeer oplossingen (ads, scripts etc.).
Dat ontwerpers gaan hard-coderen onder tijddruk zonder grondig te testen en te beschikken over de nodige kennis van beveiliging, die bij velen van hen grote gaten vertoont is ook een gegeven, Weer extra laag aandragen dus.
Jij , TS en anderen hier, voeden hen op dit platform op tot een verbeterd veiligheidsgedrag,
maar dat is vaak preken voor de eigen geloofskring,
Wat maakt het uit voor het algemene plaatje bij het grotendeels onbewuste en onwetende klikvolk.
Water naar de zee dragen m.i. en de grote jongens nemen ook de verantwoordelijkheid niet.
Het is niet in hun belang. Opleidingen laten derhalve ook heel veel liggen.
Later zitten we zogezegd met de gebakken peren. De sappige 'conference' waren dan op ;) ,
en er kwamen oude vrouwtjes in het Frankrijk van "Nappie" met gebakken stoofpeertjes langs de deur,
Bedroevende toestand voor velen en een paradijs voor de enkelen die er van rijk van leven of gigantisch van profiteren.
We kunnen dus ook als thuisgebruikers eigenlijk niet goed zonder externe FW en blokkeer oplossingen (ads, scripts etc.).
Dat ontwerpers gaan hard-coderen onder tijddruk zonder grondig te testen en te beschikken over de nodige kennis van beveiliging, die bij velen van hen grote gaten vertoont is ook een gegeven, Weer extra laag aandragen dus.
Jij , TS en anderen hier, voeden hen op dit platform op tot een verbeterd veiligheidsgedrag,
maar dat is vaak preken voor de eigen geloofskring,
Wat maakt het uit voor het algemene plaatje bij het grotendeels onbewuste en onwetende klikvolk.
Water naar de zee dragen m.i. en de grote jongens nemen ook de verantwoordelijkheid niet.
Het is niet in hun belang. Opleidingen laten derhalve ook heel veel liggen.
Later zitten we zogezegd met de gebakken peren. De sappige 'conference' waren dan op ;) ,
en er kwamen oude vrouwtjes in het Frankrijk van "Nappie" met gebakken stoofpeertjes langs de deur,
Bedroevende toestand voor velen en een paradijs voor de enkelen die er van rijk van leven of gigantisch van profiteren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
