Certified Secure Challenges - Over challenges en dergelijke

Build that firewall:Alle overige inkomende verbindingen zijn niet toegestaan

03-02-2023, 20:59 door Valk_gideon, 10 reacties
ik ben al 3 dagen bezig met deze challenge maar we zitten vast bij de 5de eis. Het blijft zeggen:
Failed: Controleer of alle overige inkomende verbindingen worden gestopt.
Zelfs met behulp van chat gpt en bruteforcen lukt het niet om hier voorbij te komen.
Maar het lijkt mij toch dat: iptables -A INPUT -j DROP of Reject toch exact deze eis voldoet? ik heb het op alle mogelijke posities gezet en ik heb alle variaties daarvan geprobeerd en ik begin nu echt af te vragen of de wesbite kapot is.
Ik heb meerdere malen het IRC kanaal proberen te bereiken maar het lukt mij niet echt.
Als iemand mij een tip kan geven dat mij zo dichtbij mogelijk kan brengen dan zou ik dat zeer waarderen
Reacties (10)
03-02-2023, 21:10 door Anoniem
'Incoming block' zorgt ervoor dat alle nieuwe verbindingen buiten de bestaande niet zijn toegestaan.
03-02-2023, 21:33 door Anoniem
"Alle overige inkomende verbindingen zijn niet toegestaan"

Weet je zeker dat je niet nog een extra poort open moet zetten voor een of andere nodige service?
(Ik gok maar strategisch wat, want ik ken de challenge zelf niet.)
03-02-2023, 21:47 door Anoniem
Door Valk_gideon: ik ben al 3 dagen bezig met deze challenge maar we zitten vast bij de 5de eis. Het blijft zeggen:
Failed: Controleer of alle overige inkomende verbindingen worden gestopt.
Zelfs met behulp van chat gpt en bruteforcen lukt het niet om hier voorbij te komen.
Maar het lijkt mij toch dat: iptables -A INPUT -j DROP of Reject toch exact deze eis voldoet? ik heb het op alle mogelijke posities gezet en ik heb alle variaties daarvan geprobeerd en ik begin nu echt af te vragen of de wesbite kapot is.
Ik heb meerdere malen het IRC kanaal proberen te bereiken maar het lukt mij niet echt.
Als iemand mij een tip kan geven dat mij zo dichtbij mogelijk kan brengen dan zou ik dat zeer waarderen

Ik ken de challenge niet, maar de INPUT table slaat alleen op verkeer naar de host zelf .
Als de firewall iets achterliggends moet beschermen (en dus als router fungeert) moet je de FORWARD chain gebruiken.

Verder is -A "append" - onderaan toevoegen .
Als de voorgaande regel een -j ACCEPT is voor alles dan is een regel daarachter met drop of reject niet effectief.
03-02-2023, 22:08 door Anoniem
*Overige* is het keyword ....

Ik heb hem toevallig vorige week gehaald, was idd wel pittig.

Nog een tip voor IRC: ROT31 eq ROT-5
04-02-2023, 08:13 door Anoniem
Ik weet niet wat je voor de rest hebt ingesteld. Je zou kunnen kijken of het helpt om de policy van de chain aan te passen van ACCEPT naar DROP.
06-02-2023, 15:05 door Anoniem
waarschijnlijk gevalletje lost in translation... en vaak is het zo dat je moet doen wat zij denken dat ze zeggen, niet wat ze daadwerkelijk opgeschreven hebben... dat heb ik geleerd sinds Microsoft certificering in 1996... Toen was het 'kies het antwoord wat het meest anti-Novell is, tenzij er een positief Microsoft antwoord is"...

Maar elke challenge die niet duidelijk is wat nu eigenlijk de bedoeling is en waarom iets moet gebeuren is in mijn optiek al per definitie een faal...
Denk aan ice-bucket challenge... Een firewall 'bouwen' met bepaalde uitkomsten omdat het een challenge is lijkt me dan ook nogal duf...

Wanneer de challenge nu zou zijn 'bouw een firewall met toegang tot loadbalancer X voor https, LDAP server Z op poort Y en blokkeer toegang tot firewall, behalve vanaf management station M aan de binnenzijde met IP A en een remote IP B,... dan zou ik zeggen soi.. maar gewoon wat duffe statements zonder context en zonder waarom lijkt me nogal amerikaans...

voor wat betreft de 'challenge' zou ik eerder denken aan attack mitigation, dus welke aanvallen kun je doen op een firewall?
welk verkeer mag op welke interfaces komen en uit welke IP ranges mogen die bestaan?
(een van de eerste Checkpoint Firewall examen vragen die ik 30 jaar geleden ofzo had)...

LAN 1 ---- FW ----- Internet
LAN 2 ---/
DMZ ---/

Lan 1 = bijv alle RFC1918 adressen, LAN 2 = alleen 192.168.178.1/24, DMZ is alleen 103.170.4.0/23 en internet is alles behalve RFC1918 minus DMZ...
06-02-2023, 23:50 door Anoniem
Door Anoniem:
Maar elke challenge die niet duidelijk is wat nu eigenlijk de bedoeling is en waarom iets moet gebeuren is in mijn optiek al per definitie een faal...

Het is misschien niet zo bedoeld - maar wel een heel realistisch praktijkscenario , onduidelijke requirements ...
07-02-2023, 10:07 door Anoniem
Waarschijnlijk ben je bij de vorige opdrachten niet nauwkeurig genoeg, waardoor er andere poorten worden geaccepteerd voor je blok. Deze challenge gaat om heel nauwkeurig lezen
22-09-2023, 11:57 door Anoniem
Al een oplossing of hint? Kom ook niet verder op zelfde punt
23-09-2023, 15:34 door Anoniem
Wel een commit geven aan het eind . .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.