Tuesday, May 10, 2005

Anyone Want to Speak at InfoSeCon?

I am looking for someone to take my place at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSeCon conference in Dubrovnik, Croatia. If you are interested, please contact organizer Niels Bjergstrom at njb at chi-publishing dot com. You will get an all-expense paid trip to a beautiful part of Europe on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adriatic sea. The conference is 6-9 June 2005. Thank you.

Spamcop blocking Gmail

Anyone else seeing Spamcop used to deny email from Gmail? This is killing me. Here are two recent examples:

This is an automatically generated Delivery Status Notification

Delivery to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following recipient failed permanently:

snort-users@lists.sourceforge.net

Technical details of permanent failure:
PERM_FAILURE: SMTP Error (state 9): 550
See http://www.spamcop.net/bl.shtml for more information."

The second problem:

This is an automatically generated Delivery Status Notification

Delivery to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following recipient failed permanently:

obscured@obscured.obs

Technical details of permanent failure:
PERM_FAILURE: SMTP Error (state 10): 554 Service unavailable;
Client host [64.233.162.202] blocked using bl.spamcop.net;
Blocked - see http://www.spamcop.net/bl.shtml?64.233.162.202

Is anyone else seeing this?

Sourcefire Founder Demolishes IPS Advocate

Many thanks to ghost16825 for pointing me towards this excellent InfoWorld article: The great intrusion prevention debate. The article pits Sourcefire founder Marty Roesch against TippingPoint Chief Technology and Strategy Officer Marc Willebeek-LeMair. Folks, this one is not pretty. Marty demolishes Dr. Willebeek-LeMair by correctly arguing that IPS (called layer 7 firewalls by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blog and elsewhere) is "a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction, but... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure itself can be orchestrated effectively to provide a much broader capability than just point defense in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of a pervasive threat." Dr. Willebeek-LeMair's main defense: "To be as polite and as succinct as possible: You are simply misinformed."

This debate shows how a hardware vendor with a fast packet processing systems thinks he can change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. Dr. Willebeek-LeMair's market-speak falls flat when critiqued by an actual security expert (Marty).

I highly recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire interview. Some of you may remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 promises made by firewall vendors and see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS claims are eerily similar. While I agree with Dr. Willebeek-LeMair's assertion that "IPSes will be integrated within switch and router elements" (it's happening now), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS is not a panacea.

Monday, May 09, 2005

FreeBSD 5.4 RELEASE Available

Several people let me know that FreeBSD 5.4 RELEASE was made publicly available this morning. Thank you -- I was busy installing it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dell PowerEdge 750 shown in my previous blog entry. :) You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dmesg output I stored at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NYCBUG site. Enjoy!

Incidentally, here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 df output after I built cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor.

Script done on Mon May 9 09:43:45 2005
Filesystem Size Used Avail Capacity Mounted on
/dev/aacd0s2a 989M 35M 875M 4% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/aacd0s2f 989M 28K 910M 0% /home
/dev/aacd0s2h 436G 265M 401G 0% /nsm
/dev/aacd0s2e 989M 12K 910M 0% /tmp
/dev/aacd0s2d 5.9G 961M 4.4G 17% /usr
/dev/aacd0s2g 4.8G 510K 4.5G 0% /var

Tap on a PCI Card

Those of you who've read my first book know I like to use taps built by Net Optics to access wired traffic. The device pictured at left is a port aggregator tap. It combines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TX side of whatever's plugged into port A with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TX side of port B into a single output on port C, using buffering if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregrate throughput exceeds 100 Mbps.

Today I got a chance to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device pictured at left. It's a Net Optics PCI Port Aggregator tap. You plug this device into a 32 bit PCI slot on your monitoring station, and you effectively have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal port aggregator tap I showed earlier sitting within your sensor. Let me show you what I mean in pictures.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside of my preferred monitoring platform, a Dell Poweredge 750. I've removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dual Gigabit Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet NIC I usually order with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems. That NIC is a PCI-X device recognized as em under FreeBSD.



In this next picture you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics PCI tap at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dual Gigabit Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet NIC below it.



Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics PCI tap installed. It takes up almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 space available, but it fits nicely. You can barely see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three tap ports in this picture. The PCI tap does not appear active to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI tap needs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI interface is power. There is a plug for a back-up power supply on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap, but I did not connect it here. If power to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap fails (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC is off), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap still passes traffic.



In this final picture, you see my test setup. This isn't how I would deploy it in real life. In a real deployment, say on a site perimeter, one tap interface would go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tap interface would go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall. The third tap interface connects to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor monitoring traffic passing between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router and firewall.

In this test deployment, I am essentially watching traffic to and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server em0 interface by sending copies of that traffic through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server em1 interface.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap ports are occupied by blue, yellow, and black cables. The yellow cable is connected to a switch with Internet access. The black cable next to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yellow line is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live (IP addressed) interface on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, em0. The blue cable connects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring interface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring interface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, em1.



Do you see where I am going with this? What I can do now (for test purposes) is send and receive traffic on em0 and watch that traffic on em1. First I set up em1 to listen to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap sends it:

sensor# ifconfig em1 -arp up
sensor# tcpdump -n -i em1
tcpdump: WARNING: em1: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet), capture size 96 bytes

Now I send traffic out em0:

$ ping -c 1 www.taosecurity.com
PING www.taosecurity.com (66.93.110.10): 56 data bytes
64 bytes from 66.93.110.10: icmp_seq=0 ttl=55 time=15.240 ms

--- www.taosecurity.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max/stddev = 15.240/15.240/15.240/0.000 ms

Here is what em1 sees courtesy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap:

09:43:33.263664 IP 192.168.1.41.58947 > 216.182.1.1.53:
27655+ A? www.taosecurity.com. (37)
09:43:33.276900 IP 216.182.1.1.53 > 192.168.1.41.58947:
27655 1/2/2 A 66.93.110.10 (131)
09:43:33.277149 IP 192.168.1.41 > 66.93.110.10: icmp 64: echo request seq 0
09:43:33.296513 IP 66.93.110.10 > 192.168.1.41: icmp 64: echo reply seq 0
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

I think that is cool. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical application? You could ship a monitoring appliance to a customer, with built-in tap. The customer connects her lines to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor listens via normal cable connection from tap monitor port to sensor monitor port. No external tap is needed. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server fails completely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap will keep passing packets. I like it. If you would like to know more, email me and I will hook you up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people I know at Net Optics.

If you'll be near Sunnyvale, CA next week, stop by for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics Think Tank on 18 May. I'll be speaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re around lunch time.

Saturday, May 07, 2005

Mixed Thoughts on Inside Network Perimeter Security, 2nd Ed

I promise that I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books I review, so this is not a review. You won't see me post anything at Amazon.com about Inside Network Perimeter Security, 2nd Ed. I read parts of it, but nowhere near enough to justify a formal review. Here are a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

The five authors and four technical editors did a lot of work to write this book. It weighs in at 660+ pages, with not that many figures or screen shots.

Despite being a second edition, I found evidence of old material. I noticed that chapter 2 describes IPChains. IPChains -- where was that last in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux 2.2 kernel? Chapter 6 implies SSH v2 isn't available on Cisco gear, but readers will remember I got that working a few months ago. Ch 19 promotes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtues of Big Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, a monitoring tool that's been declining for years since its acquisition. Nagios should have been covered instead.

A quote in ch 11 on Intrusion Prevention Systems bugged me: "SoureFire [sic] ditched Snorty cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pig and became Realtime Network Awareness (RNA), a passive sensor and visualization tool company in terms of primary internal focus." Let's ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misspellings and confusing English and answer this point. Sourcefire hasn't "ditched" Snort; RNA works with Snort. Someone doesn't understand Sourcefire or Snort.

I ended up reading most of ch 11 as it was fairly informative about network- and host-based IPSs. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, I didn't find a really compelling reason to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. There is some good material on network architecture, but nothing I haven't seen elsewhere. I guess that was my overall reason to stop paying attention to Inside Network Perimeter Security, 2nd Ed: I didn't see much new material for me. I also don't really care for books that provide advice but not configuration guidance. I like to flip though technical books and see that offset courier print denoting command and configuration syntax. Aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router hardening syntax in ch. 6, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of suggesting in this book but not as many concrete examples as I would like.

If anyone has opinions on Inside Network Perimeter Security, 2nd Ed, please post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Update: I reviewed this book on 30 August 2006.

Ping Tunnel and Telnet

I often learn of new software by seeing new ports released at FreshPorts. Recently I noticed Daniel Stødle's Ping Tunnel appear as net/ptunnel. Ping Tunnel tunnels TCP over ICMP traffic, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram at left. Being a network security analyst I thought it might be interesting to see what this traffic looks like. I set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel client on my laptop (orr, 192.168.2.5), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy on a server (janney,192.168.2.7), and tried to Telnet to a third server (bourque, 192.168.2.10). The results surprised me. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup.

First, I set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy on janney. Here is everything janney reported.

janney:/home/richard$ sudo ptunnel -c xl0
[inf]: Starting ptunnel v 0.60.
[inf]: (c) 2004-2005 Daniel Stoedle, daniels@cs.uit.no
[inf]: Forwarding incoming ping packets over TCP.
[inf]: Initializing pcap.
[inf]: Ping proxy is listening in privileged mode.
[inf]: Incoming tunnel request from 192.168.2.5.
[inf]: Starting new session to 192.168.2.10:23 with ID 33492
[err]: Dropping duplicate proxy session request.
[inf]: Connection closed or lost.

I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client on orr. Here is everything orr reported.

orr:/home/richard$ sudo ptunnel -p janney -lp 8000 -da bourque -dp 23
[inf]: Starting ptunnel v 0.60.
[inf]: (c) 2004-2005 Daniel Stoedle, daniels@cs.uit.no
[inf]: Relaying packets from incoming TCP streams.
[inf]: Incoming connection.
[evt]: No running proxy thread - starting it.
[inf]: Ping proxy is listening in privileged mode.
[inf]: Received session close from remote peer.

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window in which I used Telnet to connect to port 8000 TCP on orr. Connecting to port 8000 TCP sends traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel client, who sends traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel proxy on janney. The Ping Tunnel proxy on janney sends TCP traffic to port 23 TCP on bourque.

orr:/home/richard$ telnet localhost 8000
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.taosecurity.com.
Escape character is '^]'.
Trying SRA secure login:
User (richard): test
Password:
[ SRA accepts you ]

FreeBSD/i386 (bourque.taosecurity.com) (ttyp1)

Copyright (c) 1992-2004 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of California. All rights reserved.

FreeBSD 5.3-RELEASE (GENERIC) #0: Fri Nov 5 04:19:18 UTC 2004

Welcome to FreeBSD!
...edited...
$ id
uid=1002(test) gid=1002(test) groups=1002(test)
$ exit
Connection closed by foreign host.

It looks like it worked. I was able to Telnet to my localhost on port 8000 TCP, and Ping Tunnel sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic via ICMP to janney, who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sent TCP traffic to port 23 on bourque. So what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic look like?

Here is some of what orr saw. This is ICMP traffic generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel client, exchanged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel proxy on janney.

10:15:04.732055 IP orr.taosecurity.com > janney.taosecurity.com: icmp 36:
echo request seq 0
0x0000: 4500 0038 c442 0000 4001 3126 c0a8 0205 E..8.B..@.1&....
0x0010: c0a8 0207 0800 11ec 82d4 0000 d520 0880 ................
0x0020: c0a8 020a 0000 0017 4000 0000 0000 ffff ........@.......
0x0030: 0000 0000 0000 82d4 ........
10:15:04.737694 IP janney.taosecurity.com > orr.taosecurity.com: icmp 36:
echo reply seq 0
0x0000: 4500 0038 1253 0000 4001 e315 c0a8 0207 E..8.S..@.......
0x0010: c0a8 0205 0000 19ec 82d4 0000 d520 0880 ................
0x0020: c0a8 020a 0000 0017 4000 0000 0000 ffff ........@.......
0x0030: 0000 0000 0000 82d4 ........
10:15:04.876140 IP janney.taosecurity.com > orr.taosecurity.com: icmp 40:
echo reply seq 0
0x0000: 4500 003c 125a 0000 4001 e30a c0a8 0207 E..<.Z..@.......
0x0010: c0a8 0205 0000 7732 82d4 0000 d520 0880 ......w2........
0x0020: 0000 0000 0000 0000 8000 0002 0000 0000 ................
0x0030: 0000 0003 0000 82d4 fffd 2580 ..........%.
10:15:04.876778 IP orr.taosecurity.com > janney.taosecurity.com: icmp 40:
echo request seq 1
0x0000: 4500 003c c446 0000 4001 311e c0a8 0205 E..<.F..@.1.....
0x0010: c0a8 0207 0800 afb2 82d4 0001 d520 0880 ................
0x0020: 0000 0000 0000 0000 4000 0002 0000 0000 ........@.......
0x0030: 0000 0003 0001 82d4 fffb 2500 ..........%.

Ok, it looks like ICMP traffic as we would expect. I chose Telnet for this demo because it is a clear text protocol. Everyone knows that -- that's why we use OpenSSH, right? Let me see if I can find some clear text.

10:15:08.839045 IP orr.taosecurity.com > janney.taosecurity.com: icmp 152:
echo request seq 10
0x0000: 4500 00ac c460 0000 4001 3094 c0a8 0205 E....`..@.0.....
0x0010: c0a8 0207 0800 16e7 82d4 000a d520 0880 ................
0x0020: 0000 0000 0000 0000 4000 0002 0000 0009 ........@.......
0x0030: 0000 0073 000a 82d4 fffa 2602 0102 fff0 ...s......&.....
0x0040: fffa 2000 3338 3430 302c 3338 3430 30ff ....38400,38400.
0x0050: f0ff fa23 006f 7272 2e74 616f 7365 6375 ...#.orr.taosecu
0x0060: 7269 7479 2e63 6f6d 3a30 2e30 fff0 fffa rity.com:0.0....
0x0070: 2700 0044 4953 504c 4159 016f 7272 2e74 '..DISPLAY.orr.t
0x0080: 616f 7365 6375 7269 7479 2e63 6f6d 3a30 aosecurity.com:0
0x0090: 2e30 0055 5345 5201 7269 6368 6172 64ff .0.USER.richard.
0x00a0: f0ff fa18 0052 5856 54ff f000 .....RXVT...
10:15:08.844558 IP janney.taosecurity.com > orr.taosecurity.com: icmp 152:
echo reply seq 10
0x0000: 4500 00ac 1277 0000 4001 e27d c0a8 0207 E....w..@..}....
0x0010: c0a8 0205 0000 1ee7 82d4 000a d520 0880 ................
0x0020: 0000 0000 0000 0000 4000 0002 0000 0009 ........@.......
0x0030: 0000 0073 000a 82d4 fffa 2602 0102 fff0 ...s......&.....
0x0040: fffa 2000 3338 3430 302c 3338 3430 30ff ....38400,38400.
0x0050: f0ff fa23 006f 7272 2e74 616f 7365 6375 ...#.orr.taosecu
0x0060: 7269 7479 2e63 6f6d 3a30 2e30 fff0 fffa rity.com:0.0....
0x0070: 2700 0044 4953 504c 4159 016f 7272 2e74 '..DISPLAY.orr.t
0x0080: 616f 7365 6375 7269 7479 2e63 6f6d 3a30 aosecurity.com:0
0x0090: 2e30 0055 5345 5201 7269 6368 6172 64ff .0.USER.richard.
0x00a0: f0ff fa18 0052 5856 54ff f000 .....RXVT...

That's interesting. Those packets look like Telnet environment variables. That's normal. So where is my "Welcome to FreeBSD!" line? It's nowhere. In fact, here is some of what follows.

10:15:09.228115 IP janney.taosecurity.com > orr.taosecurity.com: icmp 1060:
echo reply seq 15
0x0000: 4500 0438 1287 0000 4001 dee1 c0a8 0207 E..8....@.......
0x0010: c0a8 0205 0000 2632 82d4 000f d520 0880 ......&2........
0x0020: 0000 0000 0000 0000 8000 0002 0000 000d ................
0x0030: 0000 0400 000f 82d4 75dc 0adc a3d1 43f5 ........u.....C.
0x0040: 75d2 9147 a100 02d4 3920 1e50 967b 990a u..G....9..P.{..
0x0050: 2983 fc5f 9d9d 54bd 7a46 0187 6e02 2a27 ).._..T.zF..n.*'
0x0060: cee9 79b3 404a c6d5 6a79 c437 d666 5507 ..y.@J..jy.7.fU.
0x0070: 413e 754b 4021 bbb9 7857 8af9 e438 6466 A>uK@!..xW...8df
0x0080: 39a0 8655 6c40 fe9b 76ab 4d19 4773 1991 9..Ul@..v.M.Gs..
...truncated...

That looks encrypted to me. Is Ping Tunnel encrypting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet traffic somehow? Why didn't it encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment variable exchange?

Let's look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic as bourque saw it. Host bourque is running Telnet.

10:11:05.217479 IP janney.taosecurity.com.61802 > bourque.taosecurity.com.telnet:
S 440505519:440505519(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,
nop,timestamp 931812386 0>
0x0000: 4500 0040 1254 4000 4006 a302 c0a8 0207 E..@.T@.@.......
0x0010: c0a8 020a f16a 0017 1a41 94af 0000 0000 .....j...A......
0x0020: b002 ffff 847f 0000 0204 05b4 0101 0402 ................
0x0030: 0103 0301 0101 080a 378a 5422 0000 0000 ........7.T"....
10:11:05.217653 IP bourque.taosecurity.com.telnet > janney.taosecurity.com.61802:
S 3627412370:3627412370(0) ack 440505520 win 65535 <mss 1460,nop,wscale 1,nop,
nop,timestamp 931351884 931812386,nop,nop,sackOK>
0x0000: 4500 0040 1766 4000 4006 9df0 c0a8 020a E..@.f@.@.......
0x0010: c0a8 0207 0017 f16a d835 eb92 1a41 94b0 .......j.5...A..
0x0020: b012 ffff 3bd6 0000 0204 05b4 0103 0301 ....;...........
0x0030: 0101 080a 3783 4d4c 378a 5422 0101 0402 ....7.ML7.T"....
10:11:05.217932 IP janney.taosecurity.com.61802 > bourque.taosecurity.com.telnet:
. ack 1 win 33304 <nop,nop,timestamp 931812386 931351884>
0x0000: 4500 0034 1256 4000 4006 a30c c0a8 0207 E..4.V@.@.......
0x0010: c0a8 020a f16a 0017 1a41 94b0 d835 eb93 .....j...A...5..
0x0020: 8010 8218 fa89 0000 0101 080a 378a 5422 ............7.T"
0x0030: 3783 4d4c 7.ML

That's as I would expect it. I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP three-way handshake from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ping Tunnel proxy (janney) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet server on bourque. How about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r traffic sample?

0x0030: 3783 4eda 7.N.
10:11:09.316388 IP janney.taosecurity.com.61802 > bourque.taosecurity.com.telnet:
P 143:258(115) ack 145 win 33304 <nop,nop,timestamp 931812796 931352282>
0x0000: 4500 00a7 1279 4000 4006 a276 c0a8 0207 E....y@.@..v....
0x0010: c0a8 020a f16a 0017 1a41 953e d835 ec23 .....j...A.>.5.#
0x0020: 8018 8218 388c 0000 0101 080a 378a 55bc ....8.......7.U.
0x0030: 3783 4eda fffa 2602 0102 fff0 fffa 2000 7.N...&.........
0x0040: 3338 3430 302c 3338 3430 30ff f0ff fa23 38400,38400....#
0x0050: 006f 7272 2e74 616f 7365 6375 7269 7479 .orr.taosecurity
0x0060: 2e63 6f6d 3a30 2e30 fff0 fffa 2700 0044 .com:0.0....'..D
0x0070: 4953 504c 4159 016f 7272 2e74 616f 7365 ISPLAY.orr.taose
0x0080: 6375 7269 7479 2e63 6f6d 3a30 2e30 0055 curity.com:0.0.U
0x0090: 5345 5201 7269 6368 6172 64ff f0ff fa18 SER.richard.....
0x00a0: 0052 5856 54ff f0 .RXVT..
10:11:09.319963 IP bourque.taosecurity.com.telnet > janney.taosecurity.com.61802:
P 145:170(25) ack 258 win 33304 <nop,nop,timestamp 931352295 931812796>
0x0000: 4510 004d 176f 4000 4006 9dca c0a8 020a E..M.o@.@.......
0x0010: c0a8 0207 0017 f16a d835 ec23 1a41 95b1 .......j.5.#.A..
0x0020: 8018 8218 a77c 0000 0101 080a 3783 4ee7 .....|......7.N.
0x0030: 378a 55bc fffa 2607 00ff f0ff fb03 fffd 7.U...&.........
0x0040: 01ff fd22 fffd 1fff fb05 fffd 21 ..."........!

That's odd. I only see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet environment information from janney to bourque. In fact, going back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP traffic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP header is identical in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "icmp 152" packets. I'm not sure what that means, but it's not central to my immediate concern.

Where is my clear text Telnet protocol?

I decide to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace captured at bourque into Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real. In one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet option decodes I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Telnet
Suboption Begin: Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Option
Auth Cmd: REPLY (2)
Auth Type: RSA (6)
...0 .0.. = Encrypt: Off (0)
.... 0... = Cred Fwd: Client will NOT forward auth creds
.... ..0. = How: One Way aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication
.... ...0 = Who: Mask client to server
Command: Forward (4)
Command: Suboption End
Command: Will Encryption Option
Command: Do Terminal Type
Command: Do Terminal Speed
Command: Do X Display Location
Command: Do New Environment Option
Command: Do Environment Option

Interesting... "Will Encryption Option". Let's keep an eye on that. A few packets later I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Telnet client send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Telnet options:

Telnet
Command: Do Encryption Option
Suboption Begin: Encryption Option
Option data
Command: Suboption End
Suboption Begin: Encryption Option
Option data
Command: Suboption End
Command: Will Terminal Type
Command: Will Terminal Speed
Command: Will X Display Location
Command: Will New Environment Option
Command: Won't Environment Option

Now we're seeing "Do Encryption Option". The next packet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server agrees:

Telnet
Suboption Begin: Encryption Option
Option data

Just to wrap up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier clear text, here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server decoded:

Telnet
Suboption Begin: Encryption Option
Option data
Command: Suboption End
Suboption Begin: Terminal Speed
Option data
Command: Suboption End
Suboption Begin: X Display Location
Here's my X Display Location
Value: orr.taosecurity.com:0.0
Command: Suboption End
Suboption Begin: New Environment Option
Option data
Command: Suboption End
Suboption Begin: Terminal Type
Here's my Terminal Type
Value: RXVT
Command: Suboption End

From this point forward, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data carried in Telnet appears encrypted.

This helpful Telnet protocol page pointed me to this Telnet options list. It turns out that RFC 2946 by none ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Linux kernel hacker Ted Ts'o describes how to add encryption to Telnet. It seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default telnetd and telnet installed with FreeBSD (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, probably?) supports encrypted Telnet. I have never seen this before. Has anyone else? I guess I should have picked anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "clear text" protocol to test Ping Tunnel!