Certified Secure Challenges - Over challenges en dergelijke

Build that firewall:Alle overige inkomende verbindingen zijn niet toegestaan

Reageer met quote
03-02-2023, 20:59 door Valk_gideon, 10 reacties
ik ben al 3 dagen bezig met deze challenge maar we zitten vast bij de 5de eis. Het blijft zeggen:
Failed: Controleer of alle overige inkomende verbindingen worden gestopt.
Zelfs met behulp van chat gpt en bruteforcen lukt het niet om hier voorbij te komen.
Maar het lijkt mij toch dat: iptables -A INPUT -j DROP of Reject toch exact deze eis voldoet? ik heb het op alle mogelijke posities gezet en ik heb alle variaties daarvan geprobeerd en ik begin nu echt af te vragen of de wesbite kapot is.
Ik heb meerdere malen het IRC kanaal proberen te bereiken maar het lukt mij niet echt.
Als iemand mij een tip kan geven dat mij zo dichtbij mogelijk kan brengen dan zou ik dat zeer waarderen
Reacties (10)
Reageer met quote
03-02-2023, 21:10 door Anoniem
'Incoming block' zorgt ervoor dat alle nieuwe verbindingen buiten de bestaande niet zijn toegestaan.
Reageer met quote
03-02-2023, 21:33 door Anoniem
"Alle overige inkomende verbindingen zijn niet toegestaan"

Weet je zeker dat je niet nog een extra poort open moet zetten voor een of andere nodige service?
(Ik gok maar strategisch wat, want ik ken de challenge zelf niet.)
Reageer met quote
03-02-2023, 21:47 door Anoniem
Door Valk_gideon: ik ben al 3 dagen bezig met deze challenge maar we zitten vast bij de 5de eis. Het blijft zeggen:
Failed: Controleer of alle overige inkomende verbindingen worden gestopt.
Zelfs met behulp van chat gpt en bruteforcen lukt het niet om hier voorbij te komen.
Maar het lijkt mij toch dat: iptables -A INPUT -j DROP of Reject toch exact deze eis voldoet? ik heb het op alle mogelijke posities gezet en ik heb alle variaties daarvan geprobeerd en ik begin nu echt af te vragen of de wesbite kapot is.
Ik heb meerdere malen het IRC kanaal proberen te bereiken maar het lukt mij niet echt.
Als iemand mij een tip kan geven dat mij zo dichtbij mogelijk kan brengen dan zou ik dat zeer waarderen

Ik ken de challenge niet, maar de INPUT table slaat alleen op verkeer naar de host zelf .
Als de firewall iets achterliggends moet beschermen (en dus als router fungeert) moet je de FORWARD chain gebruiken.

Verder is -A "append" - onderaan toevoegen .
Als de voorgaande regel een -j ACCEPT is voor alles dan is een regel daarachter met drop of reject niet effectief.
Reageer met quote
03-02-2023, 22:08 door Anoniem
*Overige* is het keyword ....

Ik heb hem toevallig vorige week gehaald, was idd wel pittig.

Nog een tip voor IRC: ROT31 eq ROT-5
Reageer met quote
04-02-2023, 08:13 door Anoniem
Ik weet niet wat je voor de rest hebt ingesteld. Je zou kunnen kijken of het helpt om de policy van de chain aan te passen van ACCEPT naar DROP.
Reageer met quote
06-02-2023, 15:05 door Anoniem
waarschijnlijk gevalletje lost in translation... en vaak is het zo dat je moet doen wat zij denken dat ze zeggen, niet wat ze daadwerkelijk opgeschreven hebben... dat heb ik geleerd sinds Microsoft certificering in 1996... Toen was het 'kies het antwoord wat het meest anti-Novell is, tenzij er een positief Microsoft antwoord is"...

Maar elke challenge die niet duidelijk is wat nu eigenlijk de bedoeling is en waarom iets moet gebeuren is in mijn optiek al per definitie een faal...
Denk aan ice-bucket challenge... Een firewall 'bouwen' met bepaalde uitkomsten omdat het een challenge is lijkt me dan ook nogal duf...

Wanneer de challenge nu zou zijn 'bouw een firewall met toegang tot loadbalancer X voor https, LDAP server Z op poort Y en blokkeer toegang tot firewall, behalve vanaf management station M aan de binnenzijde met IP A en een remote IP B,... dan zou ik zeggen soi.. maar gewoon wat duffe statements zonder context en zonder waarom lijkt me nogal amerikaans...

voor wat betreft de 'challenge' zou ik eerder denken aan attack mitigation, dus welke aanvallen kun je doen op een firewall?
welk verkeer mag op welke interfaces komen en uit welke IP ranges mogen die bestaan?
(een van de eerste Checkpoint Firewall examen vragen die ik 30 jaar geleden ofzo had)...

LAN 1 ---- FW ----- Internet
LAN 2 ---/
DMZ ---/

Lan 1 = bijv alle RFC1918 adressen, LAN 2 = alleen 192.168.178.1/24, DMZ is alleen 103.170.4.0/23 en internet is alles behalve RFC1918 minus DMZ...
Reageer met quote
06-02-2023, 23:50 door Anoniem
Door Anoniem:
Maar elke challenge die niet duidelijk is wat nu eigenlijk de bedoeling is en waarom iets moet gebeuren is in mijn optiek al per definitie een faal...

Het is misschien niet zo bedoeld - maar wel een heel realistisch praktijkscenario , onduidelijke requirements ...
Reageer met quote
07-02-2023, 10:07 door Anoniem
Waarschijnlijk ben je bij de vorige opdrachten niet nauwkeurig genoeg, waardoor er andere poorten worden geaccepteerd voor je blok. Deze challenge gaat om heel nauwkeurig lezen
Reageer met quote
22-09-2023, 11:57 door Anoniem
Al een oplossing of hint? Kom ook niet verder op zelfde punt
Reageer met quote
23-09-2023, 15:34 door Anoniem
Wel een commit geven aan het eind . .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search