Sunday, May 29, 2005

Bejtlich Writing Like Mad During Home Stretch

I am writing like mad to meet a 1 June book delivery deadline for Addison-Wesley, so I won't be posting much or at all until I finish Extrusion Detection. I think crunching to meet deadlines is a common author predicament, after speaking with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r participants at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSDCan book signing last week. Pictured with me, starting from my left, are Dru Lavigne, Greg Lehey, Marshall Kirk McKusick, and George Neville-Neil. Michael Lucas was not present for that photo but he appeared momentarily afterwards. Standing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background is conference organizer extraordinaire Dan Langille. Thanks to Robert Bernier for posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original photo.

Friday, May 27, 2005

Snort Inline?

Is anyone successfully running an inline deployment of Snort on FreeBSD? If so, please email me: richard at taosecurity dot com. This guide makes it look easy, but I've tried multiple variations (bridging, routing, etc.) with Snort 2.3.3 on FreeBSD 5.4 REL and nothing works completely. Thank you.

Update: I got it working. snort-2.3.3.tar.gz doesn't work; snort_inline-2.3.0-RC1.tar.gz does. Who knew.

Vote for Sguil at SANS ISC Poll

Thanks to Brandon Greenwood I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current SANS ISC poll asks for your favorite Snort interface. Sguil is currently running third behind BASE and ACID. Visit SANS ISC and vote for Sguil!

Thursday, May 26, 2005

NetBSD Binary OS Updates

I discovered a system running NetBSD 2.0 in my lab and decided to upgrade it to NetBSD 2.0.2. I read that "this is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first binary security/critical update since NetBSD 2.0." I found a thread which gave various forms of advice on updating to NetBSD 2.0.2 from 2.0. Here is what I did.

When I started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was running NetBSD 2.0.

bash-2.05b# uname -a
NetBSD juneau.taosecurity.com 2.0 NetBSD 2.0 (GENERIC) #0:
Wed Dec 1 10:58:25 UTC 2004 builds@build:/big/builds/ab/netbsd-2-0-RELEASE/
i386/200411300000Z-obj/big/builds/ab/
netbsd-2-0-RELEASE/src/sys/arch/i386/compile/GENERIC i386

First I downloaded base.tgz, comp.tgz, kern-GENERIC.tgz, man.tgz, misc.tgz, and text.tgz into a directory I created called /usr/tmp. The FTP server directory listing shows what was available in total.

juneau# ftp ftp://ftp.netbsd.org/pub/NetBSD/NetBSD-2.0.2/i386/binary/sets/
Trying 204.152.190.13...
Connected to ftp.netbsd.org.
...edited...
ftp> ls
229 Entering Extended Passive Mode (|||51263|)
150 Opening ASCII mode data connection for '/bin/ls'.
total 227868
-rw-r--r-- 1 srcmastr netbsd 444 Mar 30 06:10 BSDSUM
-rw-r--r-- 1 srcmastr netbsd 581 Mar 30 06:10 CKSUM
-rw-r--r-- 1 srcmastr netbsd 987 Mar 30 06:10 MD5
-rw-r--r-- 1 srcmastr netbsd 448 Mar 30 06:10 SYSVSUM
-rw-r--r-- 1 srcmastr netbsd 18047923 Mar 23 09:24 base.tgz
-rw-r--r-- 1 srcmastr netbsd 21308430 Mar 23 09:25 comp.tgz
-rw-r--r-- 1 srcmastr netbsd 168642 Mar 23 09:23 etc.tgz
-rw-r--r-- 1 srcmastr netbsd 3036879 Mar 23 09:23 games.tgz
-rw-r--r-- 1 srcmastr netbsd 3565556 Mar 23 09:20 kern-GENERIC.MP.tgz
-rw-r--r-- 1 srcmastr netbsd 3526224 Mar 23 09:20 kern-GENERIC.tgz
-rw-r--r-- 1 srcmastr netbsd 3557989 Mar 23 09:20 kern-GENERIC_DIAGNOSTIC.tgz
-rw-r--r-- 1 srcmastr netbsd 2632995 Mar 23 09:20 kern-GENERIC_LAPTOP.tgz
-rw-r--r-- 1 srcmastr netbsd 859230 Mar 23 09:20 kern-GENERIC_PS2TINY.tgz
-rw-r--r-- 1 srcmastr netbsd 822571 Mar 23 09:20 kern-GENERIC_TINY.tgz
lrwxrwxrwx 1 1237 netbsd 27 Apr 6 17:13 man.tgz ->
../../../shared/ALL/man.tgz
lrwxrwxrwx 1 1237 netbsd 28 Apr 6 17:13 misc.tgz ->
../../../shared/ALL/misc.tgz
-rw-r--r-- 1 srcmastr netbsd 1982544 Mar 23 09:23 text.tgz
-rw-r--r-- 1 srcmastr netbsd 5787182 Mar 23 09:24 xbase.tgz
-rw-r--r-- 1 srcmastr netbsd 10732131 Mar 23 09:24 xcomp.tgz
-rw-r--r-- 1 srcmastr netbsd 32342 Mar 23 09:24 xetc.tgz
-rw-r--r-- 1 srcmastr netbsd 32171614 Mar 23 09:25 xfont.tgz
-rw-r--r-- 1 srcmastr netbsd 8053884 Mar 23 09:25 xserver.tgz

Next I switched to a bash shell and ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

juneau# ls *.tgz
base.tgz kern-GENERIC.tgz misc.tgz
comp.tgz man.tgz text.tgz
juneau# bash
bash-2.05b# for i in *.tgz; do tar -xpvzf $i -C /; done

This extracted all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives. When done, I rebooted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Upon reboot, I checked uname output.

NetBSD juneau.taosecurity.com 2.0.2 NetBSD 2.0.2 (GENERIC) #0:
Wed Mar 23 08:53:42 UTC 2005
jmc@faith.netbsd.org:/home/builds/ab/netbsd-2-0-2-RELEASE/i386/
200503220140Z-obj/home/builds/ab/netbsd-2-0-2-RELEASE/
src/sys/arch/i386/compile/GENERIC i386

That's it -- I'm running NetBSD 2.0.2 now.

Marcus Ranum on Proxies, Deep Packet Inspection

I asked security guru Marcus Ranum if he would mind commenting on using proxies as security devices. I will publish his thoughts in my new book Extrusion Detection, but he's allowed me to print those comments here and now. I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m very interesting.

"The original idea behind proxies was to have something that interposed itself between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks and acted as a single place to 'get it right' when it came to security. FTP-gw was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first proxy I wrote, so I dutifully started reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFC for FTP and gave up pretty quickly in horror. Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was all kinds of kruft in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that I didn't want outsiders being able to run against my FTP server. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first generation proxies were not simply an intermediary that did a 'sanity check' against application protocols, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deliberately limited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application protocols to a command subset that I felt was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum that could be done securely and still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol work.

For example, while writing FTP-gw I realized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PORT command would cause a blind connection from TCP port 20 to anyplace, over which data would be transferred. Port 20 was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privileged range and I was able to predict an 'rshd' problem so I quietly emailed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys at Berkeley and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to put a check in ruserok() to forestall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. I also added code to make sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client couldn't ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server to send data to any host ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than itself, forestalling FTP PORT scanning. So I 'invented' 'FTP bounce' attacks in 1990 by preventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with my proxy.

There are several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples of where, in implementing proxies, I was horrified to see gaping holes in commonly-used application protocols, and was able to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m fixed before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were used against innocent victims. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxies implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bare minimum command set to allow an application protocol to work, a lot of attacks simply failed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy because it only knew how to do a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers started searching for vulnerabilities to exploit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet applications suite, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y often found holes in seldom-used commands or in poorly tested features of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFC-compliant servers. But often, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tricks against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd get back was: 'command not recognized'.

The proxy gave a single, controllable, point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se fixes could be installed.

The problem with proxies is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y took time and effort and a security-conscious analyst to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and design cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. And sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy ran up against a design flaw in an application
protocol where it couldn't really make any improvement to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol. The first reaction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy firewall vendors was to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers, 'well, protocol XYZ is so badly broken that
you just can't rely on it across an untrusted network.' This was, actually, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct way (from a security standpoint) to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, but it didn't work.

Around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet was becoming a new media phenomenon, a bunch of firewalls came on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market that were basically smart packet filters that did a little bit of layer-7 analysis. These 'stateful firewalls' were very attractive to end users because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't even TRY to 'understand' cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application protocols going across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum amount necessary to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data through.

For example, one popular firewall from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 90's managed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP PORT transaction by looking for a packet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PORT command in it, parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PORT number and address out of it, and opening that port in its rulesbase. Fast? Certainly. Transparent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user? Totally. Secure? Hardly. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se 'stateful firewalls' sold very well because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 promise of high performance, low end-user impact, and enough security that an IT manager could
say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd tried.

There are a few vendors who have continued to sell proxy firewalls throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early evolution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, but most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy firewalls are long gone. Basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers
didn't want security; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wanted convenience and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of having tried. What's ironic is that a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks that are bedeviling networks today would never have gotten through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early proxy firewalls. But, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user community chose convenience over security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wound up adopting a philosophy of preferring to let things go through, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n violently slamming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 barn door after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horse had exited.

Proxies keep cropping up over and over, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are fundamentally a sound idea. Every so often someone re-invents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy firewall - as a border spam blocker, or a 'web firewall' or an 'application firewall' or 'database gateway' - etc. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se technologies work wonderfully. Why? Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're a single point where a security-conscious programmer can assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat represented by an application protocol, and can put error detection, attack detection, and validity checking in place.

The industry will continue to veer back and forth between favoring connectivity and favoring security depending on which fad is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ascendant. But proxies are going to be with us for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term, and have been steadfastly keeping networks secure as all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newfangled buzzword technologies ('stateful packet inspection,' 'intrusion prevention,' 'deep packet inspection') come - and go."

This is a report he wrote for a client, but he's sharing it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. If you're looking for some cynical digital security artwork to grace your cubicle, check out Marcus' media outlet.

Wednesday, May 25, 2005

New Net Optics Product Evaluations

I recently acquired several more specialized taps from Net Optics. I thought you might like to hear a few words about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I plan to feature cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se and a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r devices in my new book Extrusion Detection, but why wait until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n? I specifically requested evaluation units to meet monitoring and network access problems my clients brought to me. Perhaps you will find one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products answer a monitoring question you've also been pondering. Keep in mind that I show Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet versions here, but a variety of optical products are offered. Also, I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might be deployed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter, between a border router and firewall. They can certainly be used elsewhere, but for consistency here I stay with that deployment scenario.

The first product I tried was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10/100 Active Response Dual Port Aggregator Tap. The purpose of this device is to provide full duplex access to a network link to two sensor platforms. The two outputs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap accept lines from your border router and firewall. The two outputs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap each contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregated traffic of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two transmit (TX) lines, one from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall and one from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router.

Here are examples of traffic captured by two sensors. One uses interface sf0 to listen for traffic, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses sf1. I run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 captures from each through Tcpdump to show what each interface saw.

bourque# tcpdump -n -r dual_port_agg.sf0.lpc
reading from file dual_port_agg.sf0.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:01:16.965312 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 0
11:01:16.965490 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 0
11:01:17.971660 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 1
11:01:17.971796 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 1

bourque# tcpdump -n -r dual_port_agg.sf1.lpc
reading from file dual_port_agg.sf1.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:01:16.965361 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 0
11:01:16.965537 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 0
11:01:17.971732 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 1
11:01:17.971843 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 1

Notice you see traffic in both directions, and each copy is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

Dual port aggregator taps allow you to deploy two monitoring systems, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram below.

The only drawback to a device like this appears if your aggregated traffic load exceeds 100 Mbps for a sustained period. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, a full duplex link can send 100 Mbps in one direction and 100 Mbps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sum of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two TX lines seldom or never exceeds 100 Mbps, an aggregator tap is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect way to consolide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two TX lines into a single output interface. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dual Port Aggregator Tap is used, you have two complete copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregated TX lines available.

If you find yourself in a situation where you routinely exceed 100 Mbps aggregate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should consider this next solution. The 10/100 Regeneration Tap takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TX lines from, say, your router and firewall, and sends those lines out multiple interfaces. The device pictured at left is a 2X1 model, meaning you get two copies of each TX line. (It's sort of like having two traditional taps in series.) You could plug cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router line into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very far right and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall line into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port right next to it. The interfaces on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left go to your pair of monitoring platforms. Your sensor needs to know how to bond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two TX lines togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a single stream. (I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands here on FreeBSD.)

To understand how this device works, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following captures. Here interfaces sf0 and sf1 sit on one sensor, while sf2 and sf3 are located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second sensor. Interfaces sf0 and sf2 see "Network A", and sf1 and sf3 connect to "Network B" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap. Here is what each interface sees, as captured and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reviewed using Tcpdump.

bourque# tcpdump -n -r 2x1_regen_tap_pre-bond.sf0.lpc
reading from file 2x1_regen_tap_pre-bond.sf0.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:14:53.818127 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 0
11:14:54.827103 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 1

bourque# tcpdump -n -r 2x1_regen_tap_pre-bond.sf1.lpc
reading from file 2x1_regen_tap_pre-bond.sf1.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:14:53.818293 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 0
11:14:54.827238 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 1

bourque# tcpdump -n -r 2x1_regen_tap_pre-bond.sf2.lpc
reading from file 2x1_regen_tap_pre-bond.sf2.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:14:53.818082 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 0
11:14:54.827041 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 1

bourque# tcpdump -n -r 2x1_regen_tap_pre-bond.sf3.lpc
reading from file 2x1_regen_tap_pre-bond.sf3.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:14:53.818248 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 0
11:14:54.827186 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 1

This is good, but we would prefer to have interfaces sf0 and sf1 bonded on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sensor to show a single stream. We also want sf2 and sf3 bonded on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second sensor for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same reason. Once bonded, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic looks like this on virtual interfaces ngeth0 and ngeth1.

bourque# tcpdump -n -r 2x1_regen_tap_post-bond.ngeth0.lpc
reading from file 2x1_regen_tap_post-bond.ngeth0.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:25:01.763213 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 0
11:25:01.763345 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 0
11:25:02.767909 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 1
11:25:02.767918 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 1

bourque# tcpdump -n -r 2x1_regen_tap_post-bond.ngeth1.lpc
reading from file 2x1_regen_tap_post-bond.ngeth1.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:25:01.763202 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 0
11:25:01.763336 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 0
11:25:02.767873 IP 192.168.2.94 > 192.168.2.7: icmp 64: echo request seq 1
11:25:02.767893 IP 192.168.2.7 > 192.168.2.94: icmp 64: echo reply seq 1

This 2X1 device isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option. There are also 4X1 and 8X1 versions available, if you need to send traffic to more than two sensors.

So far we've seen two taps which provide more than one copy of network traffic traversing a link. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a way to use a tap with a SPAN port?

Yes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Span Regeneration Tap is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer. This product looks exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous device. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two interfaces on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box don't connect to your router and firewall. Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y connect to SPAN ports from your enterprise class switches. Whatever is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right is duplicated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports labelled "B" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap. Whatever is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port second furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365st from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right is duplicated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "A" ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap.

This is a regeneration tap, meaning it is designed to take copies of observed traffic and send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to more than one sensor. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following traces, interfaces sf0 and sf1 are again on one sensor, and sf2 and sf3 are on a second sensor.

bourque# tcpdump -n -r span_tap_sf0.lpc
reading from file span_tap_sf0.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:47:55.784352 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:47:55.785463 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)
11:47:55.797978 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:47:55.805704 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)

bourque# tcpdump -n -r span_tap_sf1.lpc
reading from file span_tap_sf1.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:50:33.465715 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:50:33.587480 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)
11:50:33.590831 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:50:33.687485 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)

bourque# tcpdump -n -r span_tap_sf2.lpc
reading from file span_tap_sf2.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:47:55.784265 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:47:55.785390 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)
11:47:55.797888 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:47:55.805617 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)

bourque# tcpdump -n -r span_tap_sf3.lpc
reading from file span_tap_sf3.lpc, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
11:50:33.465631 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:50:33.587403 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)
11:50:33.590747 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:50:33.687403 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)

So what are we looking at? It appears sf0 and sf2 (on different sensors) see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same SPAN port output, which here shows a DNS request and reply for www.taosecurity.com. Interfaces sf1 and sf3 (again on different sensors) see SPAN port output from a different switch, where a DNS request and reply for www.sguil.net has been recorded.

There is an important difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se four traces for interfaces sf0 - sf3 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four traces shown for sf0 - sf3 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2X1 Regeneration Tap. The 2X1 Regeneration Tap showed only half-duplex traffic, meaning packets sent in one direction only. We used bonding to bring interfaces sf0 and sf1 togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and sf2 and sf3 togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, to display a single full duplex stream on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor.

Here, we are already looking at full duplex output on each interface, sf0 - sf3. Remember that we are getting our packets from two separate SPAN ports in this case. The tap is not directly inline -- two enterprise switches are collecting traffic and sending it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap. There is no need to bond interfaces here because we are already looking at full duplex streams as provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch SPAN ports.

However, we could bond interfaces sf0 and sf1 togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on one sensor, and sf2 and sf3 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sensor, if we wanted to present a single virtual interface to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniffing software on each platform. If we do that, we can now see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from two SPAN ports combined into a single virtual interface. It would look something like this.

11:55:06.032533 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:55:06.036645 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:55:06.037014 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)
11:55:06.041972 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)
11:55:06.045319 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:55:06.062005 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)
11:55:06.065079 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:55:06.072073 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)
11:55:06.075315 IP 192.168.2.10.56047 > 192.168.2.7.53: 50548+ A? www.taosecurity.com. (37)
11:55:06.081956 IP 192.168.2.7.53 > 192.168.2.10.56047: 50548* 1/1/1 A 66.93.110.10 (90)
11:55:06.085050 IP 192.168.2.10.58009 > 192.168.2.7.53: 56871+ A? www.sguil.net. (31)
11:55:06.101978 IP 192.168.2.7.53 > 192.168.2.10.58009: 56871 3/5/4
CNAME wfb.zoneedit.com., A 207.234.129.65, A 216.98.141.250 (248)

So how might you use this device in real life? You may have an enterprise switch mirroring traffic to a SPAN port. You would like multiple sensors to watch that SPAN port. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port into a cheap hub, you send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN output to a 2X1 (or 4X1 or 8X1) SPAN Regeneration tap. Everything stays at full duplex for highest performance. Also, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of sending tapped traffic to a hub; if traffic enters cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hub at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets collide but no retransmission occurs. The tap is passive so those collided packets are lost forever. Taps and hubs never mix.

You may have noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two products looked physically identical. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not electrically identical. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN Regeneration Tap, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right cannot pass traffic through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2X1 Regeneration Tap.

Keep an eye out for additional monitoring product reviews. I have a couple Matrix Switches on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way.

Notes on Net Optics Think Tank

Last week I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good fortune to be invited to speak at a Net Optics Think Tank event. Net Optics is a California-based maker of products which help analysts access traffic for monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security and performance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. I recently wrote about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics tap built in a PCI card form factor. I also use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir gear to conduct network security monitoring, as profiled in my first book.

The meeting offered attendees three sessions: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two were conducted by Net Optics personnel, and I presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third. The purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sessions were not to sell products, but to solicit feedback from attendees. In fact, in some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "products" in question didn't exist yet. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than implement products customers might not want, or lacking desired features, Net Optics polls its clients and prospective customers and builds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gear those customers need.

The first presentation described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bypass Switch. This is a really interesting product which I had not paid any attention to prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Think Tank event. It is primarily designed to work with inline devices like so-called intrusion prevention systems. Apparently many prospective IPS customers are reluctant to deploy an IPS inline along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir routers and firewalls. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r customers have grown to trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reliability of those products, or routers and firewalls usually support clustering and/or active failover to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of network down time. IPSs are apparently not that mature. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bypass switch.

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram below shows, traffic is first sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bypass switch. The bypass switch ensures that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS is alive by sending special heartbeat packets through it. As long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS is functioning (i.e., passing heartbeats), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bypass switch sends traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS. Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heartbeat packets fail to traverse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bypass switch reroutes traffic to go directly through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby avoiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed IPS.

This makes sense for a single IPS that is deployed inline and that supplements a filtering router and firewall. Using a bypass switch would not make much sense if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connected device was a site's only access control mechanism. Who would want traffic to pass if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir firewall died?

If power is lost to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bypass switch, it will still pass traffic. It is truly a passive device. This is a big improvement over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average inline appliance, whose loss of power or operating system would bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire link down.

The innovation that Net Optics continues to apply to this scenario involves support for dual or multiple devices attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bypass switch. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, add a second IPS to complement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary system. Should number one IPS die, route traffic through number two. There are additional opportunities for creativity here, so I suggest watching Net Optics for future product releases.

The second session discussed adding Simple Network Management Protocol (SNMP) support to Net Optics devices. This would allow a tap to report statistics similar to those provided by Cisco device interfaces. While this is useful, I recommended Net Optics provide hardware dip switches to completely disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feature. Those that want "dumb" taps should still be allowed to deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m!

Finally, Net Optics asked me to speak on how I conduct monitoring. I delivered a presentation on defensible networks, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name in my forthcoming book Extrusion Detection. Essentially, a defensible network is one that can be monitored, controlled, minimized, and kept current. If you would like to hear me speak on this subject, I will be offering a similar presentation at Techno Security 2005 on 13 June in Myrtle Beach, SC. Incidentally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures showing me speak at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics Think Tank link to larger versions.

Tuesday, May 24, 2005

Virtual Desktops on Windows

I've been working in Windows more than usual recently as I push to complete my next book Extrusion Detection. I realized I really missed having multiple virtual desktops, like I do using Fluxbox or generally any UNIX windowing environment.

Enter Virtual Dimension. This is an open source virtual desktop system for Windows. It works flawlessly on my Windows 2000 Professional laptop. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small desktop that appears when you click on a tray icon. I like being able to see small icons representing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications active on each desktop. For example, desktop 0 is running Firefox, 1 has Adobe Reader, 2 has Putty and Wish (for Sguil), and 3 has Windows Media Player. I don't know how I coped with a single Windows desktop before using this program.

Monday, May 23, 2005

Reviewers for Extrusion Detection Wanted

Would anyone be interested in reviewing preliminary drafts of some chapters from my future book Extrusion Detection? If so, email richard at taosecurity dot com. Please explain why you think you would be a good reviewer and tell me something about your network security experience. If you sound like a good candidate, I will pass your information on to my publisher. Thank you!

Update: Thanks to all who replied -- I sent a list of names to my publisher. They will be contacting some of you, depending on when you wrote me.

Microsoft Windows Server 2003 Trial Downloads

I'm not one to ignore free software from Microsoft, even if it's only in trial format. I saw that a beta of Windows Server 2003 R2 is available for download. You must install it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trial version of Windows Server 2003 with Service Pack 1 (SP1); normal Windows Server 2003 SP1 will apparently not work. I registered to download R2 beta and also Windows Server 2003 SP1. You can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on CD as well, but that takes 4-6 weeks. I might try converting server to workstation using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided link.

Sunday, May 22, 2005

Report from BSDCan, Part II

I recently reported on day one of BSDCan 2005, which I attended in Ottawa. I'd like to present my review of day two.

I started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day with Easy Software-Installation with pkgsrc, presented by D'Arcy Cain. I find pkgsrc interesting because it is a cross-platform package system, not just for NetBSD. Too bad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pkgsrc.org Web site has "pkgsrc: The NetBSD Packages Collection" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top!

I would like to try pkgsrc on NetBSD of course, but also on Solaris, AIX, FreeBSD, OpenBSD, Slackware, and Debian. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official packages in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a testing ground of sorts at pkgsrc-wip (works-in-progress) and pkgsrc-netbsd.se, a Web-based front-end. It would be a great accomplishment if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSDs were able to standardize on a single package system and pool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir resources. If Linux were intergrated, that would be amazing. I learned pkgsrc even supports Windows through Interix, which is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free Windows Services for UNIX.

D'Arcy intended for his presentation to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first diplomatic move to begin a discussion about working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r BSD projects. I personally believe OpenBSD has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most to gain as its ports tree is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smallest and least current of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSDs.

I next attended a work in progress session chaired by Robert Watson. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following five minute talks memorable. Pawel Dawidek described his GELI, his GEOM class for encryption. Scott Long explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to add journalling to UFS. Poul-Henning Kamp explained his work writing drivers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Napatech Traffic Analyzer NIC pictured at left. If I want one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se PCI-X 100 or 133 MHz boards I need to pay $4000 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four port version or $8000 for a stacked eight port model.

I heard George Neville-Neil ask for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community to write technical white papers for marketing to non-BSD users. (Incidentally, while looking for GNN's home page, I found his work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zoo.freebsd.org test cluster used and administered by The FreeBSD Project for testing, debugging, and performance analysis. Next I listened to a Linux user, Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w Wilcox, advocate BSD involvement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Free Standards Group. That took guts! Finally, Robert Krten showed off some really out-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re telecom gear that alerts him of incoming phone calls via TV alert. Good grief.

During lunch I spoke with Scott Ullrich and Chris Buechler of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pfSense project. Pfsense is a derivative of m0n0wall. Both are firewall-and-more FreeBSD distributions. I would like to try pfSense on my Soekris net4801 system, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y suggested I look at Netgate, Hacom, and PC Engines (WRAP) products. Chris is also working on a "LiveNSM" FreeBSD distro based on FreeSBIE, which would help me immensely. I created something similar last year for internal use, but a public version would be great. I plan to keep in touch with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys!

After lunch I was glad to see Ike Levy talk about building FreeBSD jails. He announced jailing.net as a central community resource for all jailing information. His talk was probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most creative and entertaining of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, and perhaps of several conferences I have attended. His was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last presentation I attended, as I had to catch a cab to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport. It turns out Ottawa was suffering a taxi driver strike, and only seven cars were serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole city! I was lucky to make my flight, even though our departure was delay by bad weacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia.

Overall I really enjoyed my second year at BSDCan and I hope to attend next year. Perhaps I can present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequel to my talk on keeping FreeBSD up-to-date, which is keeping FreeBSD applications up-to-date.

Thursday, May 19, 2005

Great Firewall Round-Up in NWC

A recent issue of Network Computing magazine featured an excellent set of firewall reviews. I thought Greg Shipley's Analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat-Management Market cover piece to be very insightful. Here are a few excerpts:

"Our testing uncovered overhyped features, signs of innovation, emerging challenges and useful new capabilities. But what struck us most was what isn't being said -- that market demands are shifting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground under legacy firewall vendors, and some will have a hard time holding on. Network access control is no longer a perimeter-only game, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for protection mechanisms is deeper than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address-and-service restrictions we're used to. More important, network security is no longer viewed as a product to be tacked on, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a core requirement. This is a fundamental shift in thinking."

Security as a "core requirement" is great news. It's only taken a decade of constant Internet attack to get vendors to understand this point, but at least we're getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re now.

"We know enterprises building a cohesive network-protection strategy need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions answered: Will next-generation routers and switches come bundled with application-level policy enforcement? Will silicon-based network-access-control devices finally overtake cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PC-based rivals? Will today's NIPS (network intrusion-prevention systems) become tomorrow's firewalls, or vice versa? Will network infrastructure heavyweights like Cisco Systems and Juniper Networks finally put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squeeze on companies like Check Point Software Technologies and Internet Security Systems?"

Here are my answers. Yes, yes, NIPS and "firewalls" will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same device, and Cisco and Juniper will buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competition.

"There's been much talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demise of NIDS (network-based intrusion-detection system) technology. The thinking goes that IDS will perish in favor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seemingly more proactive IPS. This misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger point: So-called network intrusion prevention is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r policy-enforcement capability that's closer in purpose to today's firewalls than it is to detection and monitoring efforts... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise market won't continue to see NIPSs and firewalls as different technology areas, with good reason. Shouldn't our firewalls protect us from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network-based attacks that NIPS claims to deflect? Why buy and maintain two devices for essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same task?

NIPS is a feature, not a product; it's just taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry some time to figure this out. Assuming we're right, does that convergence end with NIPS and conventional firewalls? Or do advanced network access control and pattern recognition eventually make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way into conventional routers and switches? We think it's inevitable."

Wow, I'm not sure how much of this clear thinking I can take in one day. Richard Clarke's comments were enough, but I surely appreciate Greg Shipley's insights. If you read Cisco IOS Router Firewall Security, you'll see that your Cisco router can already perform classic firewall and now so-called "NIPS" functions. If you consider ACLs a firewalling function, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been in IOS since 1993, and more advanced features like dynamic ACLs (aka lock-and-key) have been around since IOS 11.1.

The difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 features of a router and an appliance like TippingPoint is power and number of signatures. Cisco is already building new products that compete with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pure-play NIPS vendors -- check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Cisco ASA 5500 Series Adaptive Security Appliances. It's only a matter of time before all access control and packet passing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge is done on a single box.

In fact, you can visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPolicy Networks site to learn about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Intrusion Prevention Firewall. This is ridiculous but it shows where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors are heading. If you want to read Gartner's take on this, iPolicy is hosting a recent Magic Quadrant for Network Firewalls (.pdf) report.

Richard Clarke Knows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Drill

The latest edition of SC Magazine features an interview with Richard Clarke titled Failure must be a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan. Hallelujah, someone with a wide speaking forum understands that prevention eventually fails. I saw Mr. Clarke speak at RAID 2003 and I was impressed by his thoughts back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. Here is a quote from his interview, with my emphasis added:

"'The first thing that corporate boards and C-level officials have to accept is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be hacked, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not trying to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect system, because nobody has a perfect system," he says.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, hackers or cyberterrorists wanting to infiltrate any system badly enough will get in, says Clarke. So businesses must accept this and design cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems for failure. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only sure way to stay running in a crisis. It comes down to basic risk management and business continuity practices.

'Organizations have to architect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system to be failure-tolerant and that means compartmentalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system so it doesn't all go down... and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to design it in a way that it's easy to bring back up,' he says."

Preach on, Mr. Clarke!

The same SC Magazine issue featured a review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Innominate mGuard PCI, pictured at left. This is a PCI card with two NICs and an on-board firewall. You connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC of your PC to one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mGuard's interfaces, and connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mGuard interface to your access switch. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of offloading firewall functionality into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r device. You're getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of per-host access control but you are not tied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaknesses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host operating system. I just emailed Innominate asking for a demo card. If I get it, I will review it here.

I am aware of similar products from 3Com, but as far as I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not stand-alone units. They require central management, which involves buying an expensive software package. That is overkill for my situation.

REcon 2005 Security Conference

At BSDCan I learned of a new security conference being held in Montreal from 17 to 19 June called REcon. The speakers list looks good. I see Adam Shostack, Jack Whitsitt, Jose Nazario, Kathy Wang, Matt Shelton, and Nish Bhalla are all speaking. I won't be able to attend, but at 400 CDN this conference is a real bargain.

Cisco Releases IOS 12.4

I can't find any real press releases on this, but I noticed Cisco released IOS 12.4 this month. This is a Major Release that incorporates features developed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IOS 12.3T line. Two product bulletins explain what's new in IOS 12.4, and an 84 slide .pdf presents similar information in PowerPoint format. I was surprised that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IOS Feature Navigator shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no support for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secure Shell SSH Version 2 Server or Client for my Cisco 2651XM router in 12.4(1). Hopefully this will be added soon.

Review of Cisco Router Firewall Security Posted

Amazon.com just posted my four star review of Richard Deal's Cisco Router Firewall Security. I read half of it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flight from DC to San Francisco, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 return leg. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"I really enjoyed reading Cisco Router Firewall Security (CRFS) by Richard Deal. This book delivers just what a technical Cisco book should: discussion of concepts, explanation of command syntax, and practical examples. The author offers several ways to solve a security problem and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n recommends his preferred choice. He correctly leans towards applying cryptography when available and avoids clear-text aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods or control channels. If you avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first chapter and keep a few minor caveats in mind, I would consider CRFS to be a five-star book."

If you administer Cisco routers, I highly recommend reading this book.

Tuesday, May 17, 2005

Launch of New TaoSecurity.com

I am happy to announce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redesign of TaoSecurity.com as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate home of TaoSecurity. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming days and weeks I will transition old, more personalized content to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 www.bejtlich.net domain. TaoSecurity is open for business, and I look forward to helping you with your security consulting and training needs.

I have a ton of material to blog, including a wrap-up of BSDCan and some news items. I will be flying to San Francisco Tuesday and returning very early Thursday. Don't expect too many updates until I return home. Thank you!

Friday, May 13, 2005

End of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Line for Racoon at Kame.net

I've used security/racoon for years to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPSec key exchange problem. I just read that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kame project has ceased supporting Racoon; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y direct users to IPSec-tools. That projects advertises itself as "a port of KAME's IPsec utilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux-2.6 IPsec implementation... [that] supports NetBSD and FreeBSD as well." Here's a recent thread on running IPSec-tools on FreeBSD.

If you're looking for an alternative to Racoon, I know of one for FreeBSD: security/isakmpd, imported from OpenBSD. I'm a little worried, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD port hasn't been modified since December, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVS interface to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OpenBSD code shows recent changes. I'm also not sure what to make of this how-to, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no date on it; i.e., do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rein still plague isakmpd on FreeBSD?

Speaking of IPSec, you may have seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NISCC announcement, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-CERT vulnerability note. The vulnerability is really one of poor configuration. According to NISCC:

"These [vulnerable] configurations use Encapsulating Security Payload (ESP) in tunnel mode with confidentiality only, or with integrity protection being provided by a higher layer protocol. Some configurations using AH to provide integrity protection are also vulnerable. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se configurations, an attacker can modify sections of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPsec packet, causing eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleartext inner packet to be redirected or
a network host to generate an error message."

The IPSec-tools list mentions it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue is to "Configure ESP to use both confidentiality and integrity protection."

I think this is old news, if one reads Steve Bellovin's previous work. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it appears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stock racoon.conf protects against this, as shown here:

path include "/usr/local/etc/racoon" ;

path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;

path certificate "/usr/local/etc/cert" ;

padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of packets per a send.

# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
#exchange_mode main,aggressive;
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;

#my_identifier address;
my_identifier user_fqdn "sakane@kame.net";
peers_identifier user_fqdn "sakane@kame.net";
#certificate_type x509 "mycert" "mypriv";

nonce_size 16;
lifetime time 1 min; # sec,min,hour
initial_contact on;
support_mip6 on;
proposal_check obey; # obey, strict or claim

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication_method pre_shared_key ;
dh_group 2 ;
}
}

sainfo anonymous
{
pfs_group 1;
lifetime time 30 sec;
encryption_algorithm 3des ;
aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication_algorithm hmac_sha1;
compression_algorithm deflate ;
}

The "aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication_algorithm hmac_sha1;" takes care of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication. You enforce encryption policy in your ipsec.conf file, which works with setkey. For example, this snippet for one of my ipsec.conf files mandates ESP tunnel mode for traffic in this VPN.

spdadd 10.4.12.10 10.4.12.1 any -P in ipsec
esp/tunnel/18.235.153.37-78.172.25.27/require;

If anyone would care to comment, I'd appreciate some additional interpretations of this issue.

Report from BSDCan, Part I

I was fortunate enough to be accepted to deliver two presentations at BSDCan 2005 today. I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first BSDCan last year, and this year's event seems to have attracted a bigger crowd. I heard somewhere between 150 and 190 attendees are roaming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Ottawa campus.

This morning worked out very well. My wife and I took our 6 month old to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport for her first trip -- except my wife and child flew to Detroit for a wedding, and I flew to Ottawa for BSDCan. (Thanks Aimes!) I landed in time to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of Colin Percival's Hyper-Threading Vulnerability talk. You can read Colin's paper in .pdf format here. This problem is not limited to FreeBSD. It affects any operating system running on an Intel HTT-capable CPU. The attack Colin discusses:

"permits local information disclosure, including allowing an unprivileged user to steal an RSA private key being used on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same machine. Administrators of multi-user systems are strongly advised to take action to disable Hyper-Threading immediately; single-user systems (i.e., desktop computers) are not affected."

After Colin's talk I participated in my first real author's book signing. I signed several copies of my book and asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r participants to sign copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir books I hauled from home. Unfortunately copies of my book never made it pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border patrol! That's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r story, and not my fault. :)

Immediately after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signing I hustled to set up and present Keeping FreeBSD Up-To-Date. This talk was based on my paper of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name. Those interested in keeping applications up-to-date will find anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r paper on that page describing that process.

During lunch I attended a planning session of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD Certification Group. They reminded me to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task survey to help guide our certification development process.

No sooner was lunch done than I had to hurry to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r room and deliver my talk More Tools for Network Security Monitoring. In addition to NSM, I discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Net Optics PCI tap, Flowgrep, IPCAD, and MODE Z. You may recognize one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se topics as being recent blog postings.

After my second presentation I listened to Kris Kennaway describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Package Cluster. You can see error logs from pointyhat, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 master server which coordinates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package building process.

Immediately after this class ended I found myself at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD Certification BoF. I attended with George Rosamond, Dru Lavigne, Dan Langille, Marc Spitzer, and Jim Brown from our group. We spoke with about 50 attendees who wanted to know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification process. We also solicited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advice and emphasized that our bsdcertification.org group is in no way affiliated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crew using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .com site.

Tomorrow evening I fly home, but I hope to report on Saturday's events during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

Thursday, May 12, 2005

Web Browser Forensics Part II

Last month I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of a two-part article on Web browser forensics by two friends (Rohyt Belani and Keith Jones) at security consultancy Red Cliff. Now part two is available online. This new article looks very interesting -- I suggest reading it.

Tomorrow or Saturday I hope to blog from BSDCan. See you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, maybe!

Wednesday, May 11, 2005

Multiple New Pre-Reviews

I've received many new books in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two weeks. Here are some pre-reviews. First we have Mastering FreeBSD and OpenBSD Security by Bruce Potter, Paco Hope, and Yanek Korff, published by O'Reilly. I have been looking forward to this book for a while. I use both operating systems to build security appliances, and that sort of work is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of this book. I would have preferred if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors avoided discussing Snort and ACID, though. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 umpteenth time I've seen "IDS" boiled down to those two well-worn and not-very-effective "solutions." Snort, yes. ACID, no. I would have been less disturbed if at least BASE, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replacement for ACID, was profiled. But no. Still, this will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first book in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pack I plan to read.

Next we have Snort Cookbook by Angela D. Orebaugh, Simon Biles, and Jacob Babbin, published also by O'Reilly. This is O'Reilly's second Snort book in nine months. The last was Mangling Security with Snort & IDS Tools. Ok, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real title has "Managing," but I explained why I avoided that book in this post.

I'm a little worried about this new Snort book. First, imagine which Snort console is presented? You guessed it -- ACID. Ugh, no Sguil. This is a shame, as one of this book's authors attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil presentation I gave at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC Snort Users Group meeting last June. Second, and more worrisome, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice on taps is faulty. On p. 21, we read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"If your Snort machine has only one network interface, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passive tap, run both lines to a small hub. Then from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r port of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hub, run a cable to your IDS. This will combine and maybe even buffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS and give a full duplex connection."

Wrong -- this is a nice way to never see traffic when full-duplex packets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two transmit lines collide in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hub. The "maybe even buffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic" part is funny, too. I wrote about this bad configuration in my first book and in this January 2004 post when I caught Finisar making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mistake.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r yellow-covered book, but I have higher hopes for this one. It's Network Security Tools: Writing, Hacking, and Modifying Security Tools by Nitesh Dhanjani and Justin Clarke, published by O'Reilly. I worked with Nitesh at Foundstone. This book reminds me of Building Open Source Network Security Tools: Components and Techniques by Mike Schiffman. NST describes how to extend Nessus, Ettercap, Nikto, and Metasploit, as well as write sniffers and packet creators. All cool.

My penultimate O'Reilly book is Apache Security by Ivan Ristic. Ivan wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mod_security Apache module and maintains a Web Security Blog. I would describe mod_security as a policy enforcement system for Apache, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common market-speak would be host IPS. Ivan sent me a copy of his book specifically to review (thank you), but I will not be able to get to it immediately. It looks like just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for anyone wishing to deploy Apache securely, however.

My last O'Reilly book is Windows Server Cookbook For Windows Server 2003 & Windows 2000 by Robbie Allen. This book looks like a good companion to Learning Windows Server 2003. Windows Server 2003 is an OS I need to become more familiar with, since I expect to encounter it more often. O'Reilly Windows books tend to be very good, considering O'Reilly's open source advocacy and its historical ties to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UNIX community. I hope I can find time for both Windows books.

I'm not sure when I'll get to this book, but I'll mention it anyway: InfoSec Career Hacking by Aaron W. Bayles, Chris Hurley, Johnny Long, and Ed Brindley. I'll read j0hnny's chapter on building a Knoppix-based test lab, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs seem somewhat dubious. I don't see how a whole book could give advice on "landing (and keeping) a job in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec field." For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "incident response" chapter (11) looks extremely weak.

And now for something completely different -- Networking and Internetworking with Microcontrollers by Fred Eady, published by Elsevier imprint Newnes. Fred also has Implementing 802.11 with Microcontrollers: Wireless Networking for Embedded Systems Designers due out in September, and he writes articles for Circuit Cellar magazine. Reading this book is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunity for me to become more familiar with networking hardware.

If anyone has read any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se books already, please post your thoughts.

Attend VMWare Seminar, Get Free Workstation 5 Copy

Today I received an email from VMWare describing a new promotion. Over three days, from 14 June to 16 June, VMWare will be conducting three-hour seminars in twenty cities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US and Canada. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement, attendees will leave with a full copy of VMWare Workstation 5, a nearly $200 value. The exact words are: "Take what you learned today and implement it with your new copy of VMware Workstation 5 - no strings attached."

This is an excellent deal. I received a free copy of Windows NT 4 years ago at a Microsoft promotion. If anyone attends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seminar at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dulles, VA Marriott, I will see you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Tuesday, May 10, 2005

Anyone Want to Speak at InfoSeCon?

I am looking for someone to take my place at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSeCon conference in Dubrovnik, Croatia. If you are interested, please contact organizer Niels Bjergstrom at njb at chi-publishing dot com. You will get an all-expense paid trip to a beautiful part of Europe on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adriatic sea. The conference is 6-9 June 2005. Thank you.

Spamcop blocking Gmail

Anyone else seeing Spamcop used to deny email from Gmail? This is killing me. Here are two recent examples:

This is an automatically generated Delivery Status Notification

Delivery to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following recipient failed permanently:

snort-users@lists.sourceforge.net

Technical details of permanent failure:
PERM_FAILURE: SMTP Error (state 9): 550
See http://www.spamcop.net/bl.shtml for more information."

The second problem:

This is an automatically generated Delivery Status Notification

Delivery to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following recipient failed permanently:

obscured@obscured.obs

Technical details of permanent failure:
PERM_FAILURE: SMTP Error (state 10): 554 Service unavailable;
Client host [64.233.162.202] blocked using bl.spamcop.net;
Blocked - see http://www.spamcop.net/bl.shtml?64.233.162.202

Is anyone else seeing this?

Sourcefire Founder Demolishes IPS Advocate

Many thanks to ghost16825 for pointing me towards this excellent InfoWorld article: The great intrusion prevention debate. The article pits Sourcefire founder Marty Roesch against TippingPoint Chief Technology and Strategy Officer Marc Willebeek-LeMair. Folks, this one is not pretty. Marty demolishes Dr. Willebeek-LeMair by correctly arguing that IPS (called layer 7 firewalls by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blog and elsewhere) is "a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction, but... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure itself can be orchestrated effectively to provide a much broader capability than just point defense in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of a pervasive threat." Dr. Willebeek-LeMair's main defense: "To be as polite and as succinct as possible: You are simply misinformed."

This debate shows how a hardware vendor with a fast packet processing systems thinks he can change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. Dr. Willebeek-LeMair's market-speak falls flat when critiqued by an actual security expert (Marty).

I highly recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire interview. Some of you may remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 promises made by firewall vendors and see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS claims are eerily similar. While I agree with Dr. Willebeek-LeMair's assertion that "IPSes will be integrated within switch and router elements" (it's happening now), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS is not a panacea.

Monday, May 09, 2005

FreeBSD 5.4 RELEASE Available

Several people let me know that FreeBSD 5.4 RELEASE was made publicly available this morning. Thank you -- I was busy installing it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dell PowerEdge 750 shown in my previous blog entry. :) You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dmesg output I stored at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NYCBUG site. Enjoy!

Incidentally, here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 df output after I built cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor.

Script done on Mon May 9 09:43:45 2005
Filesystem Size Used Avail Capacity Mounted on
/dev/aacd0s2a 989M 35M 875M 4% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/aacd0s2f 989M 28K 910M 0% /home
/dev/aacd0s2h 436G 265M 401G 0% /nsm
/dev/aacd0s2e 989M 12K 910M 0% /tmp
/dev/aacd0s2d 5.9G 961M 4.4G 17% /usr
/dev/aacd0s2g 4.8G 510K 4.5G 0% /var

Tap on a PCI Card

Those of you who've read my first book know I like to use taps built by Net Optics to access wired traffic. The device pictured at left is a port aggregator tap. It combines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TX side of whatever's plugged into port A with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TX side of port B into a single output on port C, using buffering if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregrate throughput exceeds 100 Mbps.

Today I got a chance to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device pictured at left. It's a Net Optics PCI Port Aggregator tap. You plug this device into a 32 bit PCI slot on your monitoring station, and you effectively have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal port aggregator tap I showed earlier sitting within your sensor. Let me show you what I mean in pictures.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside of my preferred monitoring platform, a Dell Poweredge 750. I've removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dual Gigabit Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet NIC I usually order with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems. That NIC is a PCI-X device recognized as em under FreeBSD.



In this next picture you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics PCI tap at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dual Gigabit Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet NIC below it.



Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics PCI tap installed. It takes up almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 space available, but it fits nicely. You can barely see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three tap ports in this picture. The PCI tap does not appear active to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI tap needs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI interface is power. There is a plug for a back-up power supply on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap, but I did not connect it here. If power to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap fails (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC is off), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap still passes traffic.



In this final picture, you see my test setup. This isn't how I would deploy it in real life. In a real deployment, say on a site perimeter, one tap interface would go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tap interface would go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall. The third tap interface connects to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor monitoring traffic passing between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router and firewall.

In this test deployment, I am essentially watching traffic to and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server em0 interface by sending copies of that traffic through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server em1 interface.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap ports are occupied by blue, yellow, and black cables. The yellow cable is connected to a switch with Internet access. The black cable next to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yellow line is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live (IP addressed) interface on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, em0. The blue cable connects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring interface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring interface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, em1.



Do you see where I am going with this? What I can do now (for test purposes) is send and receive traffic on em0 and watch that traffic on em1. First I set up em1 to listen to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap sends it:

sensor# ifconfig em1 -arp up
sensor# tcpdump -n -i em1
tcpdump: WARNING: em1: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet), capture size 96 bytes

Now I send traffic out em0:

$ ping -c 1 www.taosecurity.com
PING www.taosecurity.com (66.93.110.10): 56 data bytes
64 bytes from 66.93.110.10: icmp_seq=0 ttl=55 time=15.240 ms

--- www.taosecurity.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max/stddev = 15.240/15.240/15.240/0.000 ms

Here is what em1 sees courtesy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap:

09:43:33.263664 IP 192.168.1.41.58947 > 216.182.1.1.53:
27655+ A? www.taosecurity.com. (37)
09:43:33.276900 IP 216.182.1.1.53 > 192.168.1.41.58947:
27655 1/2/2 A 66.93.110.10 (131)
09:43:33.277149 IP 192.168.1.41 > 66.93.110.10: icmp 64: echo request seq 0
09:43:33.296513 IP 66.93.110.10 > 192.168.1.41: icmp 64: echo reply seq 0
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

I think that is cool. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical application? You could ship a monitoring appliance to a customer, with built-in tap. The customer connects her lines to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor listens via normal cable connection from tap monitor port to sensor monitor port. No external tap is needed. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server fails completely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap will keep passing packets. I like it. If you would like to know more, email me and I will hook you up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people I know at Net Optics.

If you'll be near Sunnyvale, CA next week, stop by for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics Think Tank on 18 May. I'll be speaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re around lunch time.

Saturday, May 07, 2005

Mixed Thoughts on Inside Network Perimeter Security, 2nd Ed

I promise that I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books I review, so this is not a review. You won't see me post anything at Amazon.com about Inside Network Perimeter Security, 2nd Ed. I read parts of it, but nowhere near enough to justify a formal review. Here are a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

The five authors and four technical editors did a lot of work to write this book. It weighs in at 660+ pages, with not that many figures or screen shots.

Despite being a second edition, I found evidence of old material. I noticed that chapter 2 describes IPChains. IPChains -- where was that last in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux 2.2 kernel? Chapter 6 implies SSH v2 isn't available on Cisco gear, but readers will remember I got that working a few months ago. Ch 19 promotes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtues of Big Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, a monitoring tool that's been declining for years since its acquisition. Nagios should have been covered instead.

A quote in ch 11 on Intrusion Prevention Systems bugged me: "SoureFire [sic] ditched Snorty cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pig and became Realtime Network Awareness (RNA), a passive sensor and visualization tool company in terms of primary internal focus." Let's ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misspellings and confusing English and answer this point. Sourcefire hasn't "ditched" Snort; RNA works with Snort. Someone doesn't understand Sourcefire or Snort.

I ended up reading most of ch 11 as it was fairly informative about network- and host-based IPSs. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, I didn't find a really compelling reason to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. There is some good material on network architecture, but nothing I haven't seen elsewhere. I guess that was my overall reason to stop paying attention to Inside Network Perimeter Security, 2nd Ed: I didn't see much new material for me. I also don't really care for books that provide advice but not configuration guidance. I like to flip though technical books and see that offset courier print denoting command and configuration syntax. Aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router hardening syntax in ch. 6, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of suggesting in this book but not as many concrete examples as I would like.

If anyone has opinions on Inside Network Perimeter Security, 2nd Ed, please post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Update: I reviewed this book on 30 August 2006.

Ping Tunnel and Telnet

I often learn of new software by seeing new ports released at FreshPorts. Recently I noticed Daniel Stødle's Ping Tunnel appear as net/ptunnel. Ping Tunnel tunnels TCP over ICMP traffic, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram at left. Being a network security analyst I thought it might be interesting to see what this traffic looks like. I set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel client on my laptop (orr, 192.168.2.5), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy on a server (janney,192.168.2.7), and tried to Telnet to a third server (bourque, 192.168.2.10). The results surprised me. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup.

First, I set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy on janney. Here is everything janney reported.

janney:/home/richard$ sudo ptunnel -c xl0
[inf]: Starting ptunnel v 0.60.
[inf]: (c) 2004-2005 Daniel Stoedle, daniels@cs.uit.no
[inf]: Forwarding incoming ping packets over TCP.
[inf]: Initializing pcap.
[inf]: Ping proxy is listening in privileged mode.
[inf]: Incoming tunnel request from 192.168.2.5.
[inf]: Starting new session to 192.168.2.10:23 with ID 33492
[err]: Dropping duplicate proxy session request.
[inf]: Connection closed or lost.

I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client on orr. Here is everything orr reported.

orr:/home/richard$ sudo ptunnel -p janney -lp 8000 -da bourque -dp 23
[inf]: Starting ptunnel v 0.60.
[inf]: (c) 2004-2005 Daniel Stoedle, daniels@cs.uit.no
[inf]: Relaying packets from incoming TCP streams.
[inf]: Incoming connection.
[evt]: No running proxy thread - starting it.
[inf]: Ping proxy is listening in privileged mode.
[inf]: Received session close from remote peer.

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window in which I used Telnet to connect to port 8000 TCP on orr. Connecting to port 8000 TCP sends traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel client, who sends traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel proxy on janney. The Ping Tunnel proxy on janney sends TCP traffic to port 23 TCP on bourque.

orr:/home/richard$ telnet localhost 8000
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.taosecurity.com.
Escape character is '^]'.
Trying SRA secure login:
User (richard): test
Password:
[ SRA accepts you ]

FreeBSD/i386 (bourque.taosecurity.com) (ttyp1)

Copyright (c) 1992-2004 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of California. All rights reserved.

FreeBSD 5.3-RELEASE (GENERIC) #0: Fri Nov 5 04:19:18 UTC 2004

Welcome to FreeBSD!
...edited...
$ id
uid=1002(test) gid=1002(test) groups=1002(test)
$ exit
Connection closed by foreign host.

It looks like it worked. I was able to Telnet to my localhost on port 8000 TCP, and Ping Tunnel sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic via ICMP to janney, who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sent TCP traffic to port 23 on bourque. So what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic look like?

Here is some of what orr saw. This is ICMP traffic generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel client, exchanged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel proxy on janney.

10:15:04.732055 IP orr.taosecurity.com > janney.taosecurity.com: icmp 36:
echo request seq 0
0x0000: 4500 0038 c442 0000 4001 3126 c0a8 0205 E..8.B..@.1&....
0x0010: c0a8 0207 0800 11ec 82d4 0000 d520 0880 ................
0x0020: c0a8 020a 0000 0017 4000 0000 0000 ffff ........@.......
0x0030: 0000 0000 0000 82d4 ........
10:15:04.737694 IP janney.taosecurity.com > orr.taosecurity.com: icmp 36:
echo reply seq 0
0x0000: 4500 0038 1253 0000 4001 e315 c0a8 0207 E..8.S..@.......
0x0010: c0a8 0205 0000 19ec 82d4 0000 d520 0880 ................
0x0020: c0a8 020a 0000 0017 4000 0000 0000 ffff ........@.......
0x0030: 0000 0000 0000 82d4 ........
10:15:04.876140 IP janney.taosecurity.com > orr.taosecurity.com: icmp 40:
echo reply seq 0
0x0000: 4500 003c 125a 0000 4001 e30a c0a8 0207 E..<.Z..@.......
0x0010: c0a8 0205 0000 7732 82d4 0000 d520 0880 ......w2........
0x0020: 0000 0000 0000 0000 8000 0002 0000 0000 ................
0x0030: 0000 0003 0000 82d4 fffd 2580 ..........%.
10:15:04.876778 IP orr.taosecurity.com > janney.taosecurity.com: icmp 40:
echo request seq 1
0x0000: 4500 003c c446 0000 4001 311e c0a8 0205 E..<.F..@.1.....
0x0010: c0a8 0207 0800 afb2 82d4 0001 d520 0880 ................
0x0020: 0000 0000 0000 0000 4000 0002 0000 0000 ........@.......
0x0030: 0000 0003 0001 82d4 fffb 2500 ..........%.

Ok, it looks like ICMP traffic as we would expect. I chose Telnet for this demo because it is a clear text protocol. Everyone knows that -- that's why we use OpenSSH, right? Let me see if I can find some clear text.

10:15:08.839045 IP orr.taosecurity.com > janney.taosecurity.com: icmp 152:
echo request seq 10
0x0000: 4500 00ac c460 0000 4001 3094 c0a8 0205 E....`..@.0.....
0x0010: c0a8 0207 0800 16e7 82d4 000a d520 0880 ................
0x0020: 0000 0000 0000 0000 4000 0002 0000 0009 ........@.......
0x0030: 0000 0073 000a 82d4 fffa 2602 0102 fff0 ...s......&.....
0x0040: fffa 2000 3338 3430 302c 3338 3430 30ff ....38400,38400.
0x0050: f0ff fa23 006f 7272 2e74 616f 7365 6375 ...#.orr.taosecu
0x0060: 7269 7479 2e63 6f6d 3a30 2e30 fff0 fffa rity.com:0.0....
0x0070: 2700 0044 4953 504c 4159 016f 7272 2e74 '..DISPLAY.orr.t
0x0080: 616f 7365 6375 7269 7479 2e63 6f6d 3a30 aosecurity.com:0
0x0090: 2e30 0055 5345 5201 7269 6368 6172 64ff .0.USER.richard.
0x00a0: f0ff fa18 0052 5856 54ff f000 .....RXVT...
10:15:08.844558 IP janney.taosecurity.com > orr.taosecurity.com: icmp 152:
echo reply seq 10
0x0000: 4500 00ac 1277 0000 4001 e27d c0a8 0207 E....w..@..}....
0x0010: c0a8 0205 0000 1ee7 82d4 000a d520 0880 ................
0x0020: 0000 0000 0000 0000 4000 0002 0000 0009 ........@.......
0x0030: 0000 0073 000a 82d4 fffa 2602 0102 fff0 ...s......&.....
0x0040: fffa 2000 3338 3430 302c 3338 3430 30ff ....38400,38400.
0x0050: f0ff fa23 006f 7272 2e74 616f 7365 6375 ...#.orr.taosecu
0x0060: 7269 7479 2e63 6f6d 3a30 2e30 fff0 fffa rity.com:0.0....
0x0070: 2700 0044 4953 504c 4159 016f 7272 2e74 '..DISPLAY.orr.t
0x0080: 616f 7365 6375 7269 7479 2e63 6f6d 3a30 aosecurity.com:0
0x0090: 2e30 0055 5345 5201 7269 6368 6172 64ff .0.USER.richard.
0x00a0: f0ff fa18 0052 5856 54ff f000 .....RXVT...

That's interesting. Those packets look like Telnet environment variables. That's normal. So where is my "Welcome to FreeBSD!" line? It's nowhere. In fact, here is some of what follows.

10:15:09.228115 IP janney.taosecurity.com > orr.taosecurity.com: icmp 1060:
echo reply seq 15
0x0000: 4500 0438 1287 0000 4001 dee1 c0a8 0207 E..8....@.......
0x0010: c0a8 0205 0000 2632 82d4 000f d520 0880 ......&2........
0x0020: 0000 0000 0000 0000 8000 0002 0000 000d ................
0x0030: 0000 0400 000f 82d4 75dc 0adc a3d1 43f5 ........u.....C.
0x0040: 75d2 9147 a100 02d4 3920 1e50 967b 990a u..G....9..P.{..
0x0050: 2983 fc5f 9d9d 54bd 7a46 0187 6e02 2a27 ).._..T.zF..n.*'
0x0060: cee9 79b3 404a c6d5 6a79 c437 d666 5507 ..y.@J..jy.7.fU.
0x0070: 413e 754b 4021 bbb9 7857 8af9 e438 6466 A>uK@!..xW...8df
0x0080: 39a0 8655 6c40 fe9b 76ab 4d19 4773 1991 9..Ul@..v.M.Gs..
...truncated...

That looks encrypted to me. Is Ping Tunnel encrypting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet traffic somehow? Why didn't it encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment variable exchange?

Let's look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic as bourque saw it. Host bourque is running Telnet.

10:11:05.217479 IP janney.taosecurity.com.61802 > bourque.taosecurity.com.telnet:
S 440505519:440505519(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,
nop,timestamp 931812386 0>
0x0000: 4500 0040 1254 4000 4006 a302 c0a8 0207 E..@.T@.@.......
0x0010: c0a8 020a f16a 0017 1a41 94af 0000 0000 .....j...A......
0x0020: b002 ffff 847f 0000 0204 05b4 0101 0402 ................
0x0030: 0103 0301 0101 080a 378a 5422 0000 0000 ........7.T"....
10:11:05.217653 IP bourque.taosecurity.com.telnet > janney.taosecurity.com.61802:
S 3627412370:3627412370(0) ack 440505520 win 65535 <mss 1460,nop,wscale 1,nop,
nop,timestamp 931351884 931812386,nop,nop,sackOK>
0x0000: 4500 0040 1766 4000 4006 9df0 c0a8 020a E..@.f@.@.......
0x0010: c0a8 0207 0017 f16a d835 eb92 1a41 94b0 .......j.5...A..
0x0020: b012 ffff 3bd6 0000 0204 05b4 0103 0301 ....;...........
0x0030: 0101 080a 3783 4d4c 378a 5422 0101 0402 ....7.ML7.T"....
10:11:05.217932 IP janney.taosecurity.com.61802 > bourque.taosecurity.com.telnet:
. ack 1 win 33304 <nop,nop,timestamp 931812386 931351884>
0x0000: 4500 0034 1256 4000 4006 a30c c0a8 0207 E..4.V@.@.......
0x0010: c0a8 020a f16a 0017 1a41 94b0 d835 eb93 .....j...A...5..
0x0020: 8010 8218 fa89 0000 0101 080a 378a 5422 ............7.T"
0x0030: 3783 4d4c 7.ML

That's as I would expect it. I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP three-way handshake from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel proxy (janney) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet server on bourque. How about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r traffic sample?

0x0030: 3783 4eda 7.N.
10:11:09.316388 IP janney.taosecurity.com.61802 > bourque.taosecurity.com.telnet:
P 143:258(115) ack 145 win 33304 <nop,nop,timestamp 931812796 931352282>
0x0000: 4500 00a7 1279 4000 4006 a276 c0a8 0207 E....y@.@..v....
0x0010: c0a8 020a f16a 0017 1a41 953e d835 ec23 .....j...A.>.5.#
0x0020: 8018 8218 388c 0000 0101 080a 378a 55bc ....8.......7.U.
0x0030: 3783 4eda fffa 2602 0102 fff0 fffa 2000 7.N...&.........
0x0040: 3338 3430 302c 3338 3430 30ff f0ff fa23 38400,38400....#
0x0050: 006f 7272 2e74 616f 7365 6375 7269 7479 .orr.taosecurity
0x0060: 2e63 6f6d 3a30 2e30 fff0 fffa 2700 0044 .com:0.0....'..D
0x0070: 4953 504c 4159 016f 7272 2e74 616f 7365 ISPLAY.orr.taose
0x0080: 6375 7269 7479 2e63 6f6d 3a30 2e30 0055 curity.com:0.0.U
0x0090: 5345 5201 7269 6368 6172 64ff f0ff fa18 SER.richard.....
0x00a0: 0052 5856 54ff f0 .RXVT..
10:11:09.319963 IP bourque.taosecurity.com.telnet > janney.taosecurity.com.61802:
P 145:170(25) ack 258 win 33304 <nop,nop,timestamp 931352295 931812796>
0x0000: 4510 004d 176f 4000 4006 9dca c0a8 020a E..M.o@.@.......
0x0010: c0a8 0207 0017 f16a d835 ec23 1a41 95b1 .......j.5.#.A..
0x0020: 8018 8218 a77c 0000 0101 080a 3783 4ee7 .....|......7.N.
0x0030: 378a 55bc fffa 2607 00ff f0ff fb03 fffd 7.U...&.........
0x0040: 01ff fd22 fffd 1fff fb05 fffd 21 ..."........!

That's odd. I only see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet environment information from janney to bourque. In fact, going back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP traffic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP header is identical in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "icmp 152" packets. I'm not sure what that means, but it's not central to my immediate concern.

Where is my clear text Telnet protocol?

I decide to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace captured at bourque into Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real. In one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet option decodes I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Telnet
Suboption Begin: Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Option
Auth Cmd: REPLY (2)
Auth Type: RSA (6)
...0 .0.. = Encrypt: Off (0)
.... 0... = Cred Fwd: Client will NOT forward auth creds
.... ..0. = How: One Way aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication
.... ...0 = Who: Mask client to server
Command: Forward (4)
Command: Suboption End
Command: Will Encryption Option
Command: Do Terminal Type
Command: Do Terminal Speed
Command: Do X Display Location
Command: Do New Environment Option
Command: Do Environment Option

Interesting... "Will Encryption Option". Let's keep an eye on that. A few packets later I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet client send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Telnet options:

Telnet
Command: Do Encryption Option
Suboption Begin: Encryption Option
Option data
Command: Suboption End
Suboption Begin: Encryption Option
Option data
Command: Suboption End
Command: Will Terminal Type
Command: Will Terminal Speed
Command: Will X Display Location
Command: Will New Environment Option
Command: Won't Environment Option

Now we're seeing "Do Encryption Option". The next packet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server agrees:

Telnet
Suboption Begin: Encryption Option
Option data

Just to wrap up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier clear text, here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server decoded:

Telnet
Suboption Begin: Encryption Option
Option data
Command: Suboption End
Suboption Begin: Terminal Speed
Option data
Command: Suboption End
Suboption Begin: X Display Location
Here's my X Display Location
Value: orr.taosecurity.com:0.0
Command: Suboption End
Suboption Begin: New Environment Option
Option data
Command: Suboption End
Suboption Begin: Terminal Type
Here's my Terminal Type
Value: RXVT
Command: Suboption End

From this point forward, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data carried in Telnet appears encrypted.

This helpful Telnet protocol page pointed me to this Telnet options list. It turns out that RFC 2946 by none ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Linux kernel hacker Ted Ts'o describes how to add encryption to Telnet. It seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default telnetd and telnet installed with FreeBSD (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, probably?) supports encrypted Telnet. I have never seen this before. Has anyone else? I guess I should have picked anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "clear text" protocol to test Ping Tunnel!

Friday, May 06, 2005

Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real 0.10.11 Released

Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real 0.10.11 was released Wednesday. It fixes a ton of security bugs. There appear to be some GUI enhancements as well as improvements under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hood. I recommend upgrading when possible.

Thursday, May 05, 2005

How to Go Insane Using Comcast

It's simple to go insane when using Comcast as your cable modem provider.

  1. Watch as Comcast-provided cable modem goes dead. (Not insane yet).

  2. Swap out cable modem at store. (Not insane yet).

  3. Plug in cable modem and watch router receive IP address. (Not insane yet. Happy, actually.)

  4. Notice machines begin trying to reach 1.1.1.1 when using TCP. (Slight insanity.)

  5. Observe that UDP traffic like NTP updates work properly. (Higher insanity level.)

  6. Notice that your cannot ping your default gateway. (Insane. Period.)


Apparently when my new cable modem is put on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, it was given 68.87.96.204 (CPSDNS.selfprov.pa.comcast.net) as its DNS server. This is a really amazing system. Check it out.

orr:/home/richard$ nslookup www.google.com 68.87.96.204
Server: 68.87.96.204
Address: 68.87.96.204#53

Name: www.google.com
Address: 1.1.1.1

orr:/home/richard$ nslookup www.taosecurity.com 68.87.96.204
Server: 68.87.96.204
Address: 68.87.96.204#53

Name: www.taosecurity.com
Address: 68.87.96.200

The first 1.1.1.1 IP address is reserved. The second 68.87.96.200 belongs to act02.selfprov.pa.comcast.net, which goes to a www.comcast.net Web server. Apparently I was supposed to not use a site like Google as my home page, but something else that would bring me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Comcast site so I could "self-provision" my new cable modem.

So why could I update time with NTP? Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonders of 68.87.96.204:

orr:/home/richard$ nslookup clock.isc.org 68.87.96.204
Server: 68.87.96.204
Address: 68.87.96.204#53

Name: clock.isc.org
Address: 68.87.96.200

That's not correct.

orr:/home/richard$ nslookup clock.isc.org 209.98.98.98
Server: 209.98.98.98
Address: 209.98.98.98#53

Non-authoritative answer:
Name: clock.isc.org
Address: 204.152.184.72

But guess what -- 68.87.96.200 is running a time server.

orr:/home/richard$ sudo ntpdate 68.87.96.200
Looking for host 68.87.96.200 and service ntp
host found : act02.selfprov.pa.comcast.net
5 May 20:56:17 ntpdate[874]: adjust time server 68.87.96.200 offset 0.016223 sec

Hence, my insanity. Some applications worked (NTP), ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (TCP to certain Web sites) did not. Good grief. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, my equipment came with zero setup instructions. I should have just called tech support earlier and said "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet is broken," racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than network troubleshoot!

Risk, Threat, and Vulnerability 101

In my last entry I took some heat from an anonymous poster who seems to think I invent definitions of security terms. I thought it might be helpful to reference discussions of terms like risk, threat, and vulnerability in various documents readers would recognize.

Let's start with NIST publication SP 800-30: Risk Management Guide for Information Technology Systems. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text we read:

"Risk is a function of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of a given threat-source's exercising a particular potential vulnerability, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting impact of that adverse event on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. To determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of a future adverse event, threats to an IT system must be analyzed in conjunction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential vulnerabilities and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls in place for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT system."

The document outlines common threats:

  • Natural Threats: Floods, earthquakes, tornadoes, landslides, avalanches, electrical storms, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r such events.

  • Human Threats Events that are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r enabled by or caused by human beings, such as unintentional acts (inadvertent data entry) or deliberate actions (network based attacks, malicious software upload, unauthorized access to confidential information).

  • Environmental Threats: Long-term power failure, pollution, chemicals, liquid leakage.


I see no mention of software weaknesses or coding problems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. So how does NIST define a vulnerability?

"Vulnerability: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's security policy."

The NIST pub's threat-vulnerability pairings table makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two terms very clear:



SP 800-30 talks about how to perform a risk assessment. Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is threat identification and vulnerability identification. Sources of threat data include "history of system attack, data from intelligence agencies, NIPC, OIG, FedCIRC, and mass media," while sources of vulnerability data are "reports from prior risk assessments, any audit comments, security requirements, and security test results."

The end of SP 800-30 provides a glossary:


  • Threat: The potential for a threat-source to exercise (accidentally trigger or intentionally exploit) a specific vulnerability.

  • Threat-source: Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (1) intent and method targeted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intentional exploitation of a vulnerability or (2) a situation and method that may accidentally trigger a vulnerability.

  • Threat Analysis: The examination of threat-sources against system vulnerabilities to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats for a particular system in a particular operational environment.

  • Vulnerability: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's security policy.


For those of you Microsoft-only shops, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Security Risk Management Guide. Chapter 1 offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se definitions:

  • Risk: The combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of an event and its consequence. (ISO Guide 73)

  • Risk management: The process of determining an acceptable level of risk, assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current level of risk, taking steps to reduce risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acceptable level, and maintaining that level of risk.

  • Threat: A potential cause of an unwanted impact to a system or organization. (ISO 13335-1)

  • Vulnerability: Any weakness, administrative process, or act or physical exposure that makes an information asset susceptible to exploit by a threat.


Microsoft cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n offers separate appendices with common threats and vulnerabilities. Their threats include catastrophic incidents, mechanical failures, malicious persons, and non-malicious persons, all with examples. Microsoft's vulnerabilities include physical, natural, hardware, software, media, communications, and human. Microsoft clearly delineates between threats and vulnerabilities by breaking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two concepts.

I'd like to add that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment on my earlier posting said I should look up "threat" at dictionary.com. I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r not think that "security professionals" use a dictionary as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "professional" understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms. Still, I'll debate on those grounds. The poster wrote that dictionary.com delivers "something that is a source of danger" as its definition. Here is what that site actually says:

  1. An expression of an intention to inflict pain, injury, evil, or punishment.

  2. An indication of impending danger or harm.

  3. One that is regarded as a possible danger; a menace.


Remember what we are debating here. I am concerned that so-called "security professionals" are mixing and matching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat" and "vulnerability" and "risk" to suit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fancy.

Here's vulnerability, or actually "vulnerable":

  1. Susceptible to physical or emotional injury.

  2. Susceptible to attack: “We are vulnerable both by water and land, without eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fleet or army” (Alexander Hamilton).

  3. Open to censure or criticism; assailable.

  4. Liable to succumb, as to persuasion or temptation.


You'll see both words are nouns. But -- a threat is a party, an actor, and a vulnerability is a condition, a weakness. Threats exploit vulnerabilities.

Finally, risk:

  1. The possibility of suffering harm or loss; danger.


Risk is also a noun, but it is a measure of possibility. These are three distinct terms. It is not my problem that I define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m properly, in accordance with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who think clearly! I am not inventing any new terms. I'm using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m correctly.

I'd like to thank Gunnar Peterson for reminding me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST and Microsoft docs.