Evilzipik | linux | 11 апреля 2014

Блокирование попыток эксплуатации heartbeat-уязвимости в OpenSSL средствами iptables

В связи с жестокой проблемой безопасности в OpenSSL 1.0.1, (CVE-2014-0160) позволяющей получить содержимое памяти удалённых серверных и клиентских приложений, помимо того что нужно поменять пароли, сертификаты и обновить openssl, временно можно спрятаться за iptables следующими правилами:

Отражаем в логе все heartbeat-запросы при помощи iptables и модуля u32:

iptables -t filter -A INPUT -p tcp —dport 443 -m u32 —u32 «52=0x18030000:0x1803FFFF» -j LOG —log-prefix «BLOCKED: HEARTBEAT»

Блокируем heartbeat-запросы:

iptables -t filter -A INPUT -p tcp —dport 443 -m u32 —u32 «52=0x18030000:0x1803FFFF» -j DROP

Отслеживаем возможные атаки при помощи Wireshark:

tshark -i interface port 443 -R ‘frame[68:1] == 18’
tshark -i interface port 443 -R ‘ssl.record.content_type == 24’

и приступаем к зализыванию ран =)

Прокомментировать

XHTML: Вы можете использовать эти тэги для форматирования текста: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>