locked
Lmhost e Host RRS feed

  • Pergunta

  • Caros colegas,
     
    Estou instalando um sistema em java em todos os computadores da minha rede, porem quando ele faz uma atualização do sistema ele usa o arquivo lmhost e host sendo assim o usuario não tem permissão para gravar nestes arquivos, fazendo com q o sistema trave.
    Em seguida me logo com o meu usuario e faço essa atualização, estou perdendo muito tempo com isso, estou querendo dar permissão full nesta pasta que contem esses arquivos, porem estou preocupado com a segurança. o que eu devo fazer? seria tranquilo dar essa permissão?
    sexta-feira, 20 de abril de 2007 20:06

Respostas

  • Caro Rodrigo,

     

    como estes arquivos servem para registrar os mapeamentos IPs para nomes NetBIOS, permissão para alterá-los irá tornar muito mais fáceis ataques do tipo "man in the middle". Não recomendaria fazer isto. Há possibilidade do seu desenvolvedor corrigir isto? Por que ele deseja gravar nestes arquivos? Deveria apenas ler.

    sexta-feira, 20 de abril de 2007 21:41
  • Rodrigo,

     

    o "man in the middle" é um ataque onde registro no seu DNS o meu IP, mas com o endereço de outro site, por exemplo, registro que www.seubanco.com.br" aponte para o IP 192.168.0.20, onde terei um IIS rodando com um clone da página do banco. Você digita suas informações de acesso, armazeno elas num BD, faço o acesso ao banco com os seus dados e lhe redireciono para lá. Tudo funciona normalmente, pois você acaba acessando o banco de verdade e realiza suas operações, mas a sua senha já está no BD.

     

    Este ataque é difícil de ser detectado (principalmente quando executado internamente) e muito eficaz. Eles que usem um NO-IP ou DynDNS para este serviço, pois querer registrar DNSs na sua máquina deve ser fora de questão.

     

    Sinceramente, eu procuraria outro fornecedor de solução se eles não conseguem fazer o software funcionar sem gravar no seu DNS, ou a assinatura de um contrato onde eles se responsabilizam por qualquer dano que possa ocorrer em sua rede casa esta vulnerabilidade seja explorada. Se não quiserem assinar o contrato é porque reconhecem o risco e neste caso estão agindo de uma forma não muito responsável, nem ética, por forçá-lo a corrê-lo. Por outro lado, se assinarem estarão assumindo um belo risco, uma vez que será MUITO difícil garantirem que ninguém explorará esta vulnerabilidade.

     

    O mais seguro para ambos lados seria estabeleceres confiança entre o teu DNS e o deles E eles assinarem um contrato de responsabilidade pelo que viésse do deles.

    segunda-feira, 23 de abril de 2007 15:30

Todas as Respostas

  • Caro Rodrigo,

     

    como estes arquivos servem para registrar os mapeamentos IPs para nomes NetBIOS, permissão para alterá-los irá tornar muito mais fáceis ataques do tipo "man in the middle". Não recomendaria fazer isto. Há possibilidade do seu desenvolvedor corrigir isto? Por que ele deseja gravar nestes arquivos? Deveria apenas ler.

    sexta-feira, 20 de abril de 2007 21:41
  • Eles estão verificando a possibilidade, mais ta dificil!

    Também acho que só deve ler, mas eles disseram que é para apontar os dns entre outras coisas. O pior que até pensei em colocar o dns manualmente e pronto , mais os dns eles mudam a cada conexão;

    alem desse ataque no qual eu não conheço e estarei pesquisando, teria outra vulnerabilidade na rede quanto a essa permissão ?

     

    Abraço

    segunda-feira, 23 de abril de 2007 14:35
  • Rodrigo,

     

    o "man in the middle" é um ataque onde registro no seu DNS o meu IP, mas com o endereço de outro site, por exemplo, registro que www.seubanco.com.br" aponte para o IP 192.168.0.20, onde terei um IIS rodando com um clone da página do banco. Você digita suas informações de acesso, armazeno elas num BD, faço o acesso ao banco com os seus dados e lhe redireciono para lá. Tudo funciona normalmente, pois você acaba acessando o banco de verdade e realiza suas operações, mas a sua senha já está no BD.

     

    Este ataque é difícil de ser detectado (principalmente quando executado internamente) e muito eficaz. Eles que usem um NO-IP ou DynDNS para este serviço, pois querer registrar DNSs na sua máquina deve ser fora de questão.

     

    Sinceramente, eu procuraria outro fornecedor de solução se eles não conseguem fazer o software funcionar sem gravar no seu DNS, ou a assinatura de um contrato onde eles se responsabilizam por qualquer dano que possa ocorrer em sua rede casa esta vulnerabilidade seja explorada. Se não quiserem assinar o contrato é porque reconhecem o risco e neste caso estão agindo de uma forma não muito responsável, nem ética, por forçá-lo a corrê-lo. Por outro lado, se assinarem estarão assumindo um belo risco, uma vez que será MUITO difícil garantirem que ninguém explorará esta vulnerabilidade.

     

    O mais seguro para ambos lados seria estabeleceres confiança entre o teu DNS e o deles E eles assinarem um contrato de responsabilidade pelo que viésse do deles.

    segunda-feira, 23 de abril de 2007 15:30
  • Carlos,

     

    Entendi,

    Você me ajudou  muito mesmo, estarei verificando isso junto como o meu Diretor para tomar essas providências.

    Para que possamos finalizar, teria mais alguma sugestão?

     

    Segue abaixo os dados que é salvo no arquivo:  Permissão: Ler, Gravar e Limpar

     

    #      102.54.94.97     rino.acme.com           # servidor de origem
    #       38.25.63.10     x.acme.com              # host cliente x

    127.0.0.1       localhost access.sabre.com
    127.0.0.25 ofep25.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.10 ofep10.sabre.com # Nortel SSL-VPN
    127.0.0.27 ofep27.sabre.com # Nortel SSL-VPN
    127.0.0.38 lb2.sabre.com # Nortel SSL-VPN
    127.0.0.34 ofep34.sabre.com # Nortel SSL-VPN
    127.0.0.3 ofep03.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.18 ofep18.sabre.com # Nortel SSL-VPN
    127.0.0.9 ofep09.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.6 ofep06.sabre.com # Nortel SSL-VPN
    127.0.0.13 ofep13.sabre.com # Nortel SSL-VPN
    127.0.0.13 ofep13.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.24 ofep24.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.8 ofep08.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.35 ofep35.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.19 ofep19.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.25 ofep25.sabre.com # Nortel SSL-VPN
    127.0.0.32 ofep32.sabre.com # Nortel SSL-VPN
    127.0.0.20 ofep20.sabre.com # Nortel SSL-VPN
    127.0.0.9 ofep09.sabre.com # Nortel SSL-VPN
    127.0.0.23 ofep23.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.34 ofep34.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.4 ofep04.sabre.com # Nortel SSL-VPN
    127.0.0.28 ofep28.sabre.com # Nortel SSL-VPN
    127.0.0.36 decs.sabre.com # Nortel SSL-VPN
    127.0.0.1 hsspconfig.sabre.com # Nortel SSL-VPN
    127.0.0.36 fos.sabre.com # Nortel SSL-VPN
    127.0.0.12 ofep12.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.16 ofep16.sabre.com # Nortel SSL-VPN
    127.0.0.23 ofep23.sabre.com # Nortel SSL-VPN
    127.0.0.7 ofep07.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.18 ofep18.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.39 tsts.sabre.com # Nortel SSL-VPN
    127.0.0.29 ofep29.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.11 ofep11.sabre.com # Nortel SSL-VPN
    127.0.0.11 ofep11.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.35 ofep35.sabre.com # Nortel SSL-VPN
    127.0.0.22 ofep22.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.33 ofep33.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.17 ofep17.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.28 ofep28.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.30 ofep30.sabre.com # Nortel SSL-VPN
    127.0.0.19 ofep19.sabre.com # Nortel SSL-VPN
    127.0.0.36 frt.sabre.com # Nortel SSL-VPN
    127.0.0.40 cert.sabre.com # Nortel SSL-VPN
    127.0.0.7 ofep07.sabre.com # Nortel SSL-VPN
    127.0.0.14 ofep14.sabre.com # Nortel SSL-VPN
    127.0.0.6 ofep06.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.26 ofep26.sabre.com # Nortel SSL-VPN
    127.0.0.33 ofep33.sabre.com # Nortel SSL-VPN
    127.0.0.2 lb2.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.10 ofep10.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.21 ofep21.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.5 ofep05.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.21 ofep21.sabre.com # Nortel SSL-VPN
    127.0.0.32 ofep32.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.16 ofep16.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.27 ofep27.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.5 ofep05.sabre.com # Nortel SSL-VPN
    127.0.0.12 ofep12.sabre.com # Nortel SSL-VPN
    127.0.0.37 lb1.sabre.com # Nortel SSL-VPN
    127.0.0.29 ofep29.sabre.com # Nortel SSL-VPN
    127.0.0.20 ofep20.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.31 ofep31.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.1 config.sea.eds.com # Nortel SSL-VPN
    127.0.0.17 ofep17.sabre.com # Nortel SSL-VPN
    127.0.0.24 ofep24.sabre.com # Nortel SSL-VPN
    127.0.0.1 lb1.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.1 access.sabre.com # Nortel SSL-VPN
    127.0.0.4 ofep04.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.15 ofep15.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.3 ofep03.sabre.com # Nortel SSL-VPN
    127.0.0.26 ofep26.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.1 res.sabre.com # Nortel SSL-VPN
    127.0.0.31 ofep31.sabre.com # Nortel SSL-VPN
    127.0.0.8 ofep08.sabre.com # Nortel SSL-VPN
    127.0.0.30 ofep30.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.15 ofep15.sabre.com # Nortel SSL-VPN
    127.0.0.14 ofep14.dcs.amrcorp.com # Nortel SSL-VPN
    127.0.0.22 ofep22.sabre.com # Nortel SSL-VPN

     

    segunda-feira, 23 de abril de 2007 15:53
  • Rodrigo,

     

    ao que tudo indica, pelos endereços, estamos falando de uma agência de turismo, ou algo do gênero e sendo todos IPs internos, também parece que não haverá maiores problemas.

     

    Uma alternativa que tens é combinar com os teus programadores uma conta para que esta atualização rode, aí crias uma zona para a faixa de IPs que o software vai usar e permites controle total para esta conta combinada.

    segunda-feira, 23 de abril de 2007 17:46
  • Sim, é turismo!

    O problema que essa relação ips ela muda a todo tempo., lembrando que esse sistema é totalmente via Web e essas alterações é nas estações .

    terça-feira, 24 de abril de 2007 12:52
  • Rodrigo,

     

    não há problema deles mudarem constantemente se forem da faixa que postastes, pois sendo 127.xxx.xxx.xxx, são IPs internos, que devem servir apenas para fazer redirecionamentos. Siga a dica que postei anteriormente sobre a criação de uma zona e dê os poderes a conta que deles precisa.

    terça-feira, 24 de abril de 2007 14:40
  • Carlos,

     

    só pra fecharmos, eu crio uma zona Dns no meu windows 2003 server referente ao dns sabre.com e nas estações eu nem preciso dar aquela permissão?

     

     

     

    terça-feira, 24 de abril de 2007 20:26
  • Oi Rodrigo,

     

    esta é a idéia, pois as suas estações de trabalho devem ter o SBS configurado como servidor de DNS e neste caso ele terá as atualizações autorizadas, salvo se precisares de endereços IP diferentes para cada máquina. Sendo este o caso não vejo outra alternativa a não ser liberar nas estações.

     

    A única coisa que acho estranha aqui é que o sistema sabre já é bem antigo e esta foi a primeira vez que vi alguém ter este tipo de problema. Eles estão lançando uma versão ou nova ou não querer te passar um manual para configurar ela de acordo com as tuas políticas?

    quarta-feira, 25 de abril de 2007 21:41
  • Certo, agora não entendi a parte de ''salvo se precisares de endereços IP diferentes para cada máquina'' ??

     

     

    Realmente em 2006 nunca tive esse problema, sendo que usavamos o sabre for windows., agora em 2007 todos estão migrando para o my sabre (via web) devido a integrações.

     

     

    Os programadores não sabem resolver este problema também, tive que chamar um cara de la pra verificar o que estava acontecendo e o mesmo também não soube resolver, e não é somente esta agencia ...são todas que estão utilizando o my sabre.

    A maioria colocaram a devida permissão!!

     

     

    quinta-feira, 26 de abril de 2007 12:32
  • Rodrigo,

     

    o que eu desejei dizer foi que, se os IPs forem iguais para todas suas máquinas tudo bem, mas se forem diferentes para cada máquina, não terás como configurar via servidor, aí sim, precisará dar as permissões por estação.

     

    Muito interessante os "técnicos" deles criarem um problema e dizerem que não sabem resolver. Vê se eles ao menos sabem qual conta o sistema deles usa, para que  possas dar as permissões para apenas esta conta, ou melhor ainda, pergunte se o sistema deles permite que configures ele para rodar sobre uma conta específica, a qual teria as permissões necessárias, minizando desta forma os seus riscos.

     

    Por tudo que falamos até agora, parece ser um problema de software mal escrito e não de configuração, porque conseguir criar todo este transtorno em uma solução web é incrível!

    quinta-feira, 26 de abril de 2007 14:41