Truecrypt audit fas 1

Bootloader och Windows kernel delarna. Resten kommer sen i fas 2.

https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

Find and Grep - bra att ha ibland

Find and Grep - bra att ha ibland

find . -name \.FBC\* -exec mv -f {} /Users/nisse/\.Trash ";"

------------------------------
grep -r --include="*.[ch]" pattern .

------------------------------
grep -RnisI <pattern> *

-R recurse into subdirectories
-n show line numbers of matches
-i ignore case
-s suppress "doesn't exist" and "can't read" messages
-I ignore binary files (technically, process them as having no matches, important for showing inverted results with -v)

#Search for a  string inside all files in the current directory

------------------------------
comm -23 <(cut -f 3 -d , stuff1.csv | sort -i | uniq -i) <(cut -f 3 -d , stuff2.csv | sort -i | uniq -i)

stuff1.csv = 
joe@example.com
jim@example.com
sally@example.com

stuff2.csv =
sally@example.com

#Jämför 2 filer och plocka ut de unika e-post adresserna som finns i stuff1.csv men inte i stuff2.csv

------------------------------
cut -f 3 -d , stuff.csv | sort --ignore-case | uniq --ignore-case

-f = 3:e kolumnen
-d = delimiter i filen stuff.csv

stuff.csv =
joe@example.com
jim@example.com
sally@example.com
joe@example.com


#Plocka ut alla unika e-post adresser ur filen stuff.csv.

-----------------------------------

sed '/^.*$/ !d ' 2.txt

#Sök fram rader i filen 2.txt som bara har ascii tecken men ta inte bort dessa (!d). Mycket bra för att rensa en wordlist på control tecken mm.

------------------------------
for i in $(cut -f 3 -d , stuff.csv | sort --ignore-case | uniq --ignore-case)
do
grep -F -i "$i" stuff.csv |  head -n 1
done

#Sök fram HELA raden för de unika e-post adresserna som finns i filen stuff.csv

------------------------------
find . -name "*.txt" | xargs sed -i "s/old/new/"

#search and replace in files

------------------------------
grep -2 -iIr "err\|warn\|fail\|crit" /var/log/*

#sök i logg

------------------------------
find . -name "*.[ch]" | xargs grep "TODO"

#grep certain file types recursively

Prioritering, klassning och bandbreddsbegränsning i Cisco: Comitted Access Rate (CAR)

Prioritering, klassning och bandbreddsbegränsning i Cisco:
Comitted Access Rate (CAR):

interface Ethernet0
ip address 192.168.10.1  255.255.255.0
rate-limit input 5000000 5000 5000 conform-action transmit exceed-action
drop

#för att begränsa trafik till 5 Mbps.

Ex2 bandbreddsbegränsning av www tjänst:

interface Ethernet0
ip address 192.168.11.1 255.255.255.252
rate-limit output access-group 101 4000000 400000 400000 conform-action
set-prec-transmit 5 exceed-action \

set-prec-transmit 5

access-list 101 permit cp any any eq www

Ex3 bandbreddsbegränsning baserat på MAC eller IP adress t.ex för att
begränsa att en peering tar all badnbredd.

interface Fddi1/0
ip address 192.168.10.1 255.255.255.0
rate-limit input access-group rate-limit 100 9000000 90000 90000 conform-
action transmit exceed-action transmit
rate-limit input 9000000 90000 90000 conform-action drop exceed-action drop

access-list rate-limit 100 00e0.34b0.7777
access-list rate-limit 100 00a0.33b0.5577

#endast dessa 2 MAC adresser kan köra

Ex4 - begränsa för att förhindra DOS attacker typ SMURF. Loggning sker
också i nedan fall.

rate-limit input access-group 199 296000 2000 2000 conform-action transmit
exceed-action continue
rate-limit input access-group 198 8000 8000 8000 conform-action transmit
exceed-action drop

!
access-list 198 permit icmp any any echo-reply log-input
access-list 199 permit icmp any any echo-reply

#första rate-limit matchar all ICMP trafik upp till 296 kbps. Överskrids
detta tar andra rate-limit över, vilket då loggar detta.

Tips på VLAN konfiguration

Tips på VLAN konfiguration
Stäng av "auto" för Trunk inställining av säkerhetsskäl.
Stäng av Dynamic Desirable på switchportar. Ofta default på alla Cisco switchar. Om detta inte görs kan någon koppla in en annan switch på godtycklig port och få en trunk, och därefter sätta respektive port till de VLAN som finns på trunken. På det sättet kommer man åt ALLA VLAN på den switch man kopplade in switchen mot. 
Kolla mode med:
#show interface fastethernet 0/21 switchport
 Kolla om porten har  Administrative Mode: dynamic desirable
Hardkoda ALLA portar på en switch till Access mode.
Hardkoda Non-negotiate på ALLA portar.Förhindrar att en PC "simulerar" att den är en swicth och hanterar DTP för att sätta upp en trunk.
Ex:
int fa 0/15
switchport trunk encapsulation dot1q
switchport mode trunk   #hardkodat att denna port nu är en trunk. Dne skickar dock fortfarande DTP paket.
switchport nonnegotiate
switchport trunk allowed vlan 10,20,30        #om man vill begränsa vilka vlan som ska kunna skickas på en trunk.
--------------------------------------------
Native VLAN (säkerhetsrisk med att använda detta)
VLAN som inte taggas på en trunk för att det kan finnas hubbar/switchar som INTE förstår VLAN taggar t.ex VoIP telefon som har ett ethernet uttag till bakomvarande dator. IP telefon och PC ska ej finnas på samma VLAN på grund av säkerhet.
Ex: Kör trunk från switch till IP telefon. IP telefon pratar VLAN 10 och paketen till/från IP telefon taggas med VLAN 10. 
PC taggar ej paketen. Trunk porten på switchen tar alltså emot untagged paket från TRUNK porten. Switchen tolkar dessa paket som att dessa tillhör native VLAN 20.
--------------------------------------------------------
VTP - VLAN Trunking "Protocol"
Skickar VLAN data mellan switchar över en trunk.
Säkerhetsproblem -> en switch kan inkopplas och ta emot alla VLAN från en switch. En ny switch kan även skicka in felaktig VLAN info till en switch då den kopplas in.
Modes: Server, Klient, Transparent
Använd aldrig VLAN 1för management trafik eller user data eftersom VLAN 1 är default för Cisco interface
Acces Control
Förhindra IP trafik mellan host .2 och host .3 inom samma vlan 200
vlan access-map deny_traffic 20
 action drop 
 action match ip address 101        #101 är en access lista enligt nedan
access-list 101 permit ip host 192.168.2.2 host 192.168.2.3     
  
vlan filter deny_traffic vlan-list 200
Förhindra L2 trafik mellan host .2 och host .3 inom samma vlan 200
vlan access-map deny_mac 20
 action drop
 action match mac address invalid_mac            #invalid_mac är en access lis
mac access-list extended invalid_mac
 permit host 00e0.1e58.598a host 00e1.6543.1234      #anta att hostarna har dessa mac adresser
vlan filter deny_mac vlan-list 200
-------
Alternativt sätt att förhindra trafik mellan hosts inom samma vlan:
Switchport protected mode   -> kan endast kommunicera med portar som är "unprotected" även om de är inom samma VLAN.
int fastethernet 0/5
 switchport protected       #kan nu bara kommunicera med andra unprotected portar
 
int fastethernet 0/6
 switchport protected      #dvs nu kan inte port 0/6 och 0/5 kommunicera
show int fa0/5 switchport              -> Protected: True
Om portar är i protected mode kan man även stänga av så att inte paket skickas ut på alla interface då switchen inte känner till mac adressen för en host. Det skyddar mot hackers som försöker kommunicerad med annan protected port/host genom att skicka ut "okända" mac adresser till swicthen som då annars skickar ut detta på alla portar.
interface fa0/5
 switchport block unicast
 switchport block multicast

--------------

Private VLANs, which prevent devices on the vlan from speaking to each other, and only to the default gateway port on the VLAN.  A good reason to do this is on a DMZ.  If a machine in the DMZ is compromised, it is still unable to speak to other machines onthe DMZ, and only the default gateway port on 
the VLAN.

------------------------

Sammanfattning port-security på CIsco switch och router

port-security på CIsco switch och router

20130222

Switchar lär sig MAC adresser default

Statiska MAC adresser

switchport port-security maximum 1 

             #sätt mac värde till det antal statiska adresser som ska tillåtas. I detta fall en MAC adress. Om max antal t.ex max 10 överstiger antalet statiska adresser (nedan) som man anger manuellt, så blir resterande dynamiskt lärda av switchen.

switchport port-security mac-address 1111.1111.1111   

           #allowed MAC on that port. Antalet ska vara lika med antalet max.

Sticky MAC adresser (viss risk med detta).

switchport port-security maximum 10

switchport port-security mac-address sticky

#MAC adress som syns på en port läggs in statiskt i running-config. Antalet MAC adresser som läggs in motsvarar värdet på maximum

show run int fa 0/20

-------------------------------

Slå på max 10 tillåtna MAC adresser på ett interface, så att inte CAM tabellen kan fyllas (med ex. dsniff/macof) och därmed switchen blir en "hub"

conf t
int fa 0/20
switchport mode access

switchport port-security

switchport port-security maximum 10
switchport port-security violation restrict

show port-security interface fa 0/20

#Kolla Security Violation Count

show interfaces status

#errdisabled innebär att security violation har troligen hänt. Resetta med shutdown och sedan no shutdown

errdisable recovery security-violation

errdisable recovery interval 900

#default är 300 sekunder

-------------------

Metasploit's Brand New Heartbleed Scanner Module

Förvånande att ingen upptäckt detta på två år. Kanske för få som verkligen tittar på opensource kod och istället litar på att någon annan gör det?



Metasploit: Metasploit's Brand New Heartbleed S... | SecurityStreet

Cobalt Strike - Penetration Testing Software

Kanske inte så ny video men mycket intressant verktyg. Cobalt Strike är kommersiella varianten av Armitage, med en hel del fler funktioner. Raphael Mudge