Certified Secure Challenges - Over challenges en dergelijke

Build your firewall: alle overige uitgaande verbindingen

01-12-2019, 15:42 door Pieterr, 4 reacties
Laatst bijgewerkt: 01-12-2019, 15:43
Bij de laatste regel van deze challenge:

-Alle overige uitgaande verbindingen naar het DMZ of het interne netwerk zijn niet toegestaan. Uitgaande verbindingen naar het internet zijn dus wel toegestaan

Heb ik de volgende regels gedifinieerd:
iptables -A OUTPUT -d 10.0.0.0/24 -j DROP
iptables -A OUTPUT -d 192.168.0.0/24 -j DROP
iptables -A OUTPUT -d 0.0.0.0/0 -j ACCEPT

Dit geeft de foutmelding (letterlijk gequote, inc. de taalfout):
"Failed: Controleer of alle overige uitgaande verbindingen naar het DMZ of het interne netwerk zijn niet toegestaan"

Waarschijnlijk maak ik een denkfout. Als ik me niet vergis zeggen de eerste twee regels dat alle typen uitgaande verbidingingen naar de twee subnets (DMZ en het interne netwerk) worden geweigerd en de derde regel geeft aan dat alle overige uitgaande verbindingen wel zijn toegestaan. Welke denkfout maak ik?
Reacties (4)
01-12-2019, 16:57 door Erik van Straten
Ik ken de casus niet en wil niet meteen alles "verklappen". Een hint dus: als ik me niet vergis is, met bovenstaande regels, communicatie met 10.0.0.0/24 en 192.168.0.0/24 via deze firewall geheel niet mogelijk.
01-12-2019, 18:40 door Pieterr
Ik heb hem opgelost. Dank Erik! Een tip die ik mezelf nog gegeven zou hebben (probleem zat ook in de eerdere regels) is:

Alle actieve verbindingen hoef je niet expliciet in de firewall toe te laten voor iedere unieke host. Je kunt ook met 1 regel zorgen dat alle actieve verbindingen het gewoon doen. Dan hoef je alleen de initialisatie van die verbinding expliciet toe te staan.
03-02-2020, 13:50 door Anoniem
Ik zit op hetzelfde punt vast als Pieterr zat.

Via de kennisbank kan ik een link vinden naar een voorbeeld voor het openstellen van de verbindingen naar het internet. Hierin wordt alleen het toestaan van een lookback beschreven als noodzakelijk. Ik kan alleen geen lookback maken in de Build that firewall tool. I.p.v de optie -i lo kan ik alleen -i lo0 selecteren en geeft de tool bij controleren " onbekende interface" aan.

Ik staar me hier nu op suf vanwege de "actieve verbindingen" uit het stukje van Pieterr. Heeft iemand een hint of dit op de goede weg zit of dat ik het totaal ergens anders moet zoeken?
03-02-2020, 22:53 door Anoniem
Je kunt het beste ook alle ingaande traffic op deze private ranges blocken maar dan op alle interfaces die geen loopback interface zijn.

Dus -i eth0 -i eth1 etc daar kun je alle private class IPs (in en uit) blocken. Voor het geval van een " encapsulation" attack.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search