疑似Fortigate 300a leak漏洞

你有聽過明明用防火牆阻擋了某個IP，但是該IP卻還是可以穿過防火牆嗎?
如果任何人聽到有此狀況發生，當下的第一個反應應該是說：IP打錯了
但再三檢查後，卻也不是IP打錯了，
最妙的是，也不是所有人的穿的過，而是少部份人可以穿過呢?
所以往往會不小心被忽略了~~~~~

最近發現了一個Fortigate 300A的漏洞， 我想可能也會出現在同產品中，所以提供給大家參考，例如在以下環境中，

                      Firewall----------IDP----Router------Internet
                           | DMZ
                           |
                           |
                    Webserver (xxx.yyy.zzz)

一般來說，在IPv4環境下，會採用NAT中的Port forwarding方式讓外界可以存取我們網站的內容，所以會有一條規則開通
Allow All to Webserver(xxx.yyy.zzz:80 -> 192.168.1:80)

另外一方面，為了防範一些網路上的攻擊，防火牆上也會加上規則來阻擋，例如：
Deny 8.8.8.8 to Any

而基於規則是有優先採用順序的，所以實際上應是

1. Deny 8.8.8.8 to Any
2. ..................
3. Deny .......  to Any
4. Allow All to Webserver(xxx.yyy.zzz:80 -> 192.168.1:80)

所以正常來說，應該是可以把所有已知的惡意連線都阻擋掉。

但是，就偏偏遇到仍然可以正常存取網站的惡意IP。

檢查開始.....

從檢查是哪條規則放人進來開始，

不看還好，看了才納悶，竟然是透過第4條規則進來，

莫名奇妙，防火牆竟眼睜睜地看著第1條規則不用，反而用上了第4條規則，這叫我百思不得其解呀?????

接著以為，是防火牆被攻破了嗎? 還是以前設定的阻擋規則失效了??

答案是..............NO..........一切正常

原先有被擋掉的還是被擋掉，原先可以進來的也是可以進來，偏偏就只有這個IP暢行無阻

更扯的是，接著再直接在Client端設定阻擋該IP，卻還是持續看到惡意連線產生，只能說是見到鬼啦~~~~~~

真的是差點選擇直接先斷線好了@@

在試過一些不同的擋法後，後來才發現，問題就出在原本的規則上

各位看倌，有沒有出來這幾條規則的微妙不同處呢?

問題就在

第1條是拒絕Any的連線，第4條是同意NAT port的連線(xxx.yyy.zzz:80 -> 192.168.1:80)，這兩規則之間產生了奇妙的漏洞。

拒絕是拒絕8.8.8.8連線到xxx.yyy.zzz，但其實是同意8.8.8.8做NAT Port forwarding連線，防火牆在特定情況下，會判斷外界想連的不是xxx.yyy.zzz，所以就跳過第1條規則，反而使用到第4條規則。

因此解決方案即是加上新規則，

Deny 8.8.8.8  to (xxx.yyy.zzz:80 -> 192.168.1:80)

因為會通過此漏洞的人並不多，所以是會造成門戶大開，卻自以為狀況良好。

至於是如何通過此漏洞的原因還不明確得知(因為沒有繼續研究下去XD)，只知道有可能是透過Proxy連線或是對方也是採用NAT連線時，就可避開此漏洞。

為了避免大家門戶大開而渾然不知，特在此分享。

OPENVPN ubuntu 12.04 安裝

參考

• http://openvpn.net/index.php/open-source/documentation/howto.html#redirect
• http://ubuntuforums.org/archive/index.php/t-1375001.html
• http://www.gaggl.com/2013/04/openvpn-forward-all-client-traffic-through-tunnel-using-ufw/
• http://wiki.ubuntu.org.cn/index.php?title=UFW%E9%98%B2%E7%81%AB%E5%A2%99%E7%AE%80%E5%8D%95%E8%AE%BE%E7%BD%AE&variant=zh-hant
• http://stephen.rees-carter.net/2012/09/how-to-enable-ip-forwarding-with-ufw/

1. sudo apt-get install openvpn
2. sudo mkdir /etc/openvpn/easy-rsa/
   sudo cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
   sudo chown -R $USER /etc/openvpn/easy-rsa/
3. sudo vi /etc/openvpn/easy-rsa/vars
4. cd /etc/openvpn/easy-rsa/
5. sudo chown -R root:root .
6. sudo chmod g+w .
7. source vars
8. ./clean-all
9. sudo vi /etc/openvpn/easy-rsa/vars
   1. export KEY_CONFIG=$EASY_RSA/openssl-1.0.0.cnf
10. ./build-ca
11. Note that in the above sequence, most queried parameters were defaulted to the values set in the vars or vars.bat files. The only parameter which must be explicitly entered is the Common Name. In the example above, I used "OpenVPN-CA".
12. ./build-key-server server
13. ./build-dh
14. cd keys
15. sudo cp server.crt server.key ca.crt dh2048.pem ../../
16. sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
17. sudo gzip -d /etc/openvpn/server.conf.gz
18. vi  /etc/openvpn/server.conf
19. sudo /etc/init.d/openvpn restart
20. Generate Client keys
    1. ./build-key client1
    2. ./build-key client2
    3. ./build-key client3
21. Download keys
    1. sudo apt-get install apache2
    2. cd /etc/openvpn/easy-rsa/
    3. tar -zpcv -f test.tar.gz keys
    4. mv test.tar.gz /var/www/
    5. Download keys
    6. rm /var/www/test.tar.gz
22. Firewall set
    1. sysctl -w net.ipv4.conf.all.forwarding=1
    2. sysctl -w net.ipv4.ip_forward=1
    3. iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
    4. iptables-save
23. Change to UFW(這裡有點問題, 重開機後不行用, 要用上面的iptables才可出去)
1. sudo vim /etc/default/ufw

2. DEFAULT_FORWARD_POLICY="ACCEPT"

3. sudo vim /etc/ufw/sysctl.conf
4. # Uncomment this to allow this host to route packets between interfaces
   1. net/ipv4/ip_forward=1
   2. net/ipv6/conf/default/forwarding=1
   3. net/ipv6/conf/all/forwarding=1
5. ufw disable
6. ufw enable

IPV6設定參考

http://tomsalmon.eu/2013/04/openvpn-ipv6-with-tun-device/

ubuntu中的SAMBA設定

1. sudo apt-get install samba
2. Create a new section at the bottom of the file, or uncomment one of the examples, for the directory to be shared:
   

   [share]
       comment = Ubuntu File Server Share
       path = /srv/samba/share
       browsable = yes
       guest ok = yes
       read only = no
       create mask = 0755
   

3. sudo mkdir -p /srv/samba/share
4. sudo chown nobody.nogroup /srv/samba/share/

   /etc/init.d/smb restart

5. sudo restart smbd

設定ubuntu自動安全性更新

參考http://askubuntu.com/questions/9/how-do-i-enable-automatic-updates

sudo apt-get install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

設定Ubuntu使用PUTTY連線時可以看到中文

參考

http://amon0626.pixnet.net/blog/post/38219047-ubuntu-12.04-server-pietty%E7%84%A1%E6%B3%95%E6%AD%A3%E5%B8%B8%E9%A1%AF%E7%A4%BA%E4%B8%AD%E6%96%87

1. ~$ sudo vim /var/lib/locales/supported.d/local

加入

zh_TW.UTF-8 UTF-8  

2.更新語系檔案

~$ sudo locale-gen

 

3. ~$ sudo vim /etc/default/locale

請確定檔案內容如下(特別是紅字的地方)：

LANG="zh_TW.UTF-8"
LANGUAGE="zh_TW:zh"
LC_NUMERIC="zh_TW"
LC_TIME="zh_TW.UTF-8"
LC_MONETARY="zh_TW"
LC_PAPER="zh_TW"
LC_NAME="zh_TW"
LC_ADDRESS="zh_TW"
LC_TELEPHONE="zh_TW"
LC_MEASUREMENT="zh_TW"
LC_IDENTIFICATION="zh_TW"
之後使用pietty登入後，中文輸入與顯示就正常了

Putty要開UTF_8

OpenVPN Windows安裝步驟

參考資料

http://www.dotblogs.com.tw/remhom/archive/2012/03/13/70717.aspx

http://j796160836.pixnet.net/blog/post/25271623-%5B%E6%95%99%E5%AD%B8%5D-open-vpn-for-windows-%E7%92%B0%E5%A2%83%E8%A8%AD%E5%AE%9A%E6%95%B4%E7%90%86

https://help.ubuntu.com/10.04/serverguide/openvpn.html

1. 裝open vpn
2. 裝openssl
3. 下載easy-rsa
4. We should probably copy in the easy-rsa/2.0/openssl.cnf into the Windows package when wrapping it all together.
5. Run the GUI as Administrator once. It will be able to create the keys then.
6. 遇到All TAP-Win32 adapters on this system are currently in use.
   1. 到網路介面卡重新啟動Tap-Win32

要用管理者權限開程式

Server防火牆要全開, 才能互相ping

windows 7好像沒辦法做port forwarding

所以宣告失敗，改用LINUX安裝

組電腦

Intel Core i5 3470, 5700
技嘉 B75M-D3H, 2590

威剛 DDR3 8G-1600, 1600

機殻 CoolMaster RC-372, 1350

華碩 P8H77-M LE/M-ATX/1A1D1H/前置19Pin U3 $2990

技嘉 Gigabyte    GV-R785OC-1GD                   HD7850, 4900

VGA    (顯示卡)：撼訊 PowerColor  AX7750 1GBD5-DHE        HD7750,
                 撼訊 PowerColor  AX7770 1GBD5-HE         HD7770,
                 微星 MSI         N650Ti-1GD5V1           GTX650Ti, 3990

VGA    (顯示卡)：影馳 Galaxy      GTX660                          GTX660, 6490
                 技嘉 Gigabyte    GV-R785OC-1GD                   HD7850, 4900
                 微星 MSI         R7870-2GD5T                     HD7870, 6800

原先是買技嘉 Gigabyte    GV-R785OC-1GD                   HD7850, 4900

最後顯卡換成撼訊 AX7870 Myst 2GBD5-2DHPPV3E/2G DDR5/ 7490

奇怪的營養建議新聞

今天(2/18)的來自蘋果日報的新聞

常吃高油糖鹽食物　童智商較低

2013年02月18日14:38  

董氏基金會今公布最新國外研究，指兒童智能發展與肥胖有關，常吃高油糖鹽食物會影響兒童智力、學習力。

澳洲日前針對1萬3978位兒童進行飲食型態調查，8年後追蹤其中7097位兒童並進行智力測驗，發現愈常攝取健康食物的兒童智商愈高，2歲前吃愈多零食、飲料、醬料等高油糖鹽類食物的兒童智商愈低。該研究發表在《歐洲流行病學雜誌》。

國內營養調查也顯示，國小學童攝取營養密度高的食物，學習力可提升3~5倍，喜歡高油糖鹽食物或不愛蔬果、奶類等營養性食品的國小學童，學習不良現象比均衡健康飲食的學童高出近2倍；若2種狀況都有的學童則高近5倍。

對於歐洲流行病學雜誌的正確原名不清楚，所以先去看董氏基金會的新聞，

高油糖鹽食物 容易上癮難戒	2013/02/18

董氏基金會 第二十九期營養新知       面對壓力常用「吃」來發洩嗎？小心戒不掉「油糖癮」！董氏基金會提醒，常吃高油糖鹽食物除了體重上身，更可能染上「油糖癮」，很難再恢復正常飲食。據加拿大研究發現，高脂、高糖食物容易讓人吃上癮，而且就像菸癮、酒癮一樣難戒除，戒吃時還會引發焦慮、憂鬱等症狀，甚至造成惡性循環的暴飲暴食。       加拿大蒙特婁大學醫學院Sharma等人於2012年4月和12月在國際肥胖期刊發表報告，研究發現，讓老鼠吃6週的高油脂飼料後再停吃，腦中多種神經傳導物質(如多巴胺等)會產生變化，出現煩躁、情緒低落等負面情緒，對壓力也變得更敏感，並相當渴望高油糖食物，容易導致靠吃紓壓而暴飲暴食，卻愈來愈難感受吃糖後的愉悅感。       另外，研究也發現，相對於吃低脂飼料(11%熱量來自於脂肪)的老鼠，吃12週高脂飼料(58%熱量來自於脂肪)的老鼠體重明顯增加，肢體靈活度變差，而且承受壓力後，腦中與憂鬱相關的神經化學物質升高(如CREB等)，因而促進負面情緒及憂鬱症狀，行為上也更容易產生焦慮、自閉行為及行為絕望。       董氏基金會表示，高油糖鹽食物只能獲得暫時性滿足，常吃恐怕會吃上癮，停不了對高油糖鹽食物的渴望，造成肥胖後想戒吃又很難，反而讓人更躁鬱，還可能形成惡性循環的暴飲暴食。董氏基金會提醒，少吃炸雞、糕餅、含糖飲料等高油糖鹽食物，多吃新鮮蔬果，並喝白開水、無糖茶、新鮮果汁來代替飲料，才是健康無負擔的舒壓好方法。 參考資料 Sharma S., Fernandes, Fulton. Adaptations in brain reward circuity underlie palatable food cravings and anxiety induced by high fat diet withdrawal. In. J. Obe. 2012 Dec. 11 Sharma S. and Fulton S. Diet-induced obesity promotes depressive-like behaviour that is associated with neural adaptions in brain reward circuitry. Int. J. Obe. 2012.

看完這兩則新聞，讓人不禁覺得，莫非美國人都比較笨嗎? 就只是因為常吃麥當勞? 像是， 澳洲日前針對1萬3978位兒童進行飲食型態調查，8年後追蹤其中7097位兒童並進行智力測驗，發現愈常攝取健康食物的兒童智商愈高，2歲前吃愈多零食、飲料、醬料等高油糖鹽類食物的兒童智商愈低。該研究發表在《歐洲流行病學雜誌》。 那2歲以後吃就沒影響智商了，那我笨就找不到籍口了@@ 或是， 喜歡高油糖鹽食物或不愛蔬果、奶類等營養性食品的國小學童，學習不良現象比均衡健康飲食的學童高出近2倍；若2種狀況都有的學童則高近5倍。 這意思是說，要油，要油就油到底了，或是專注均衡健康飲食，要是有時吃健康飲食，有時吃高油糖鹽食物反而會更糟@@

101年11月、12月 統一發票中獎號碼"快速"對獎單

為了快速對獎, 不分大小獎, 只列出後3碼, 按照大小排序, 並把最關鍵的倒數第3碼用紅色表示, 有對到再去對完整號碼, 我覺得這樣對號比較快, 而且也比較有快感, 哈!!

832
653
591
517
494
106

來源資料:http://udn.com/lotto/selec06.shtml