Kali Linux: Scovare l'indirizzo IP del server protetto da Cloudflare

Milioni di siti web, al fine di proteggersi da attacchi DDos (Distributed Denial of Service) e aumentare la velocità di accesso, utilizzano il servizio Cloudflare.
Cloudflare agisce in maniera analoga ad un CDN (Content Delivery Network) ma molto più semplice da configurare. Il sistema si interpone tra il server che ospita il sito web e il visitatore filtrando gli utenti indesiderati (con conseguente risparmio di banda e risorse) e aumentando la sicurezza.
Per utilizzare Cloudflare è necessario registrarsi sul sito www.cloudflare.com, selezionare il servizio desiderato (quello per siti/blog personali è gratuito) quindi impostare i nameserver di Cloudflare come authoritative nameservers per il proprio dominio (generalmente questa operazione va effettuata dal pannello di gestione del dominio messo a disposizione dal proprio registrar).

Cloudflare dispone di numerosi data center sparsi per il mondo. Attraverso una tecnologia proprietaria denominata Anycast e attraverso i propri nameserver, Cloudflare dirotta tutte le richieste di accesso al sito al data center più vicino al visitatore. Il data center verifica l'attendibilità del visitatore analizzandone diverse caratteristiche tra cui l'indirizzo IP, la risorsa richiesta, il numero di richieste, la loro frequenza, ecc. Solo nel caso in cui il visitatore venga ritenuto affidabile, Cloudflare provvede a prelevare i dati contenuti nella cache aggiornata e, dopo aver applicato alcune ottimizzazioni, li restituisce al visitatore in maniera del tutto trasparente. 

FIG 1 - Cloudflare

I visitatori non verranno mai in "contatto" con l'indirizzo IP del server che ospita il sito web.

Purtroppo, causa imperizia di alcuni amministratori che non limitano l'accesso ai propri server solo agli indirizzi IP di Cloudflare, molti siti web rimangono vulnerabili ed esposti ad attacchi. In questi casi, infatti, l'indirizzo pubblico del server "origine" rimane esposto e può essere individuato con l'utilizzo di alcuni tool come la piattaforma Censys e CloudFlair.

Di seguito verrà mostrato come individuare l'indirizzo IP pubblico di un server "origine" vulnerabile protetto da Cloudflare utilizzando Kali Linux.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

• Posizionarsi sul sito https://censys.io e, se non si dispone già di un'account, crearne uno cliccando su Signup e seguendo le istruzioni a video. Al termine eseguire il logon con il proprio account.
  

  

  FIG 2 - Sito web Censys.io

• Posizionarsi sulla pagina https://censys.io/account/api e prendere nota di API ID e Secret;
  
  

  

  FIG 3 - Censys, API ID e Secret
• Aprire una finestra terminale di Kali Linux e digitare i seguenti comandi
  export CENSYS_API_ID=<API_ID_Assegnato>
  export CENSYS_API_SECRET=<API_Secret_Assegnato> 
  sostituendo <API_ID_Assegnato> e <API_Secret_Assegnato> con i valori API ID e Secret ottenuti nel passo precedente;
  

  

  FIG 4 - Kali Linux, impostare variabili d'ambiente CENSYS_API_ID e CENSYS_API_SECRET

• Clonare il repository digitando, nella finestra terminale, il seguente comando
  git clone https://github.com/christophetd/cloudflair.git



FIG 5 - Kali Linux, clonazione repository cloudflair

• 
  Installare le dipendenze del pacchetto eseguendo i comandi 
  cd cloudflair
  pip install -r requirements.txt



FIG 6 - Kali Linux, installazione dipendenze di CloudFlair



• Per individuare l'indirizzo IP del server "origine" eseguire il comando
  python cloudflair.py myvulnerable.site
  sostituendo myvulnerable.site con l'indirizzo del sito web che si intende verificare. L'output sarà simile a quello mostrato in FIG 7 e sono evidenziati gli indirizzi IP dei server "origine".

  

  FIG 7 - Output CloudFlair

Cloudflare: Filtrare i contenuti web con 1.1.1.1 for Families

Cloudflare, società specializzata nel content delivery network, da circa 2 anni fornisce gratuitamente un server DNS veloce ed attento alla privacy (Cloudflare 1.1.1.1: il DNS più veloce del web e attento alla privacy). Da qualche mese, per rispondere alle richieste degli utenti relativamente alla possibilità di filtrare i siti pericolosi, ha introdotto un nuovo servizio DNS gratuito chiamato 1.1.1.1 for Families che permette di aggiungere facilmente un livello di protezione alla propria rete domestica e ai propri dispositivi riducendo al minimo il rischio di scaricare malware o di accedere a contenuti per adulti. Il servizio sfrutta la rete globale di Cloudflare e anche in questo caso è garantita la bassa latenza delle risposte, sicurezza e il rispetto della privacy. I DNS da impostare sul proprio dispositivo o sul router per poter usufruire della protezione di Cloudflare sono i seguenti:

Per la protezione contro il malware

DNS primario (IPv4): 1.1.1.2

DNS secondario (IPv4): 1.0.0.2

DNS primario (IPv6): 2606:4700:4700::1112

DNS secondario (IPv6): 2606:4700:4700::1002

Per la protezione contro malware e contenuti per adulti

DNS primario (IPv4): 1.1.1.3

DNS secondario (IPv4): 1.0.0.3

DNS primario (IPv6): 2606:4700:4700::1113

DNS secondario (IPv6): 2606:4700:4700::1003

Le pagine vengono filtrate attraverso l'utilizzo di blacklist che vengono gestite e aggiornate direttamente da Cloudflare. Non viene offerta alcuna opzione di personalizzazione: non è possibile aggiungere manualmente ulteriori pagine da filtrare e nel caso in cui un sito sia stato inserito erroneamente all'interno della blacklist, non c'è la possibilità di sbloccarlo direttamente se non segnalando il problema a Cloudflare.

FIG 1 - Cloudflare, 1.1.1.1 for Families

Cloudflare 1.1.1.1: il DNS più veloce del web e attento alla privacy

La nota società statunitense Cloudflare, specializzata nel content delivery network, performance e sicurezza su Internet, ha ufficializzato il proprio servizio DNS 1.1.1.1 veloce, sicuro e attento alla privacy.
Il servizio DNS offerto da Cloudflare risulta il più veloce del web inoltre rende difficile al proprio provider di tracciare i siti visitati. Gli indirizzi IP degli utenti non vengono archiviati e i log relativi alle query vengono cancellati entro 24 ore. Al fine di garantire la massima privacy, il servizio supporta sia DNS-over-TLS sia DNS-over-HTTPS.

FIG 1 - Prestazioni del DNS di Cloudflare

Oltre all'indirizzo 1.1.1.1 del DNS primario, Cloudflare fornisce anche l'indirizzo 1.0.0.1 relativo al DNS secondario. I rispettivi indirizzi IPv6 dei due DNS sono: 2606:4700:4700::1111 e 2606:4700:4700::1001. 

Per ulteriori dettagli e informazioni sul servizio e su come impostare i server DNS sul proprio sistema è possibile consultare la pagina https://1.1.1.1. 

Hound: Raccolta Remota di Coordinate GPS e Dati Dispositivo

Nel mondo digitale iperconnesso in cui viviamo, dispositivi come smartphone, tablet e PC sono diventati strumenti indispensabili per quasi tutte le nostre attività. Se da un lato questa costante connettività porta a notevoli vantaggi, dall'altro comporta anche grandi rischi: ogni dispositivo può diventare una porta d'accesso per i cybercriminali che, grazie a tecniche sempre più sofisticate, riescono a localizzare e monitorare gi spostamenti della vittima in tempo reale senza che questa se ne accorga. Oltre alla posizione possono essere raccolti dati come l'indirizzo IP, il browser utilizzato, il sistema operativo e la risoluzione dello schermo. Incrociando tali informazioni con le abitudini online della vittima (siti visitati, contenuti preferiti, orari, ecc) è possibile creare un profilo dettagliato della sua identità digitale.

In questo contesto si inserisce Hound (https://github.com/techchipnet/hound), uno strumento open-source progettato per ottenere in maniera semplice e remota le coordinate GPS esatte di un dispositivo target, insieme a un set informativo completo sul sistema. Questo articolo esplorerà le sue capacità, le implicazioni e le considerazioni etiche legate al suo utilizzo.

Una piattaforma completa di Data Gathering

Hound non si limita alla sola rilevazione delle coordinate GPS utilizzando un server PHP ma è in grado di raccogliere in modo automatico un'ampia gamma di informazioni sul dispositivo remoto, incluse:

• Coordinate GPS(latitudine e longitudine)
• Modello del dispositivo
• Sistema operativo in uso
• Numero di core della CPU
• Risoluzione dello schermo
• User agent del browser
• Indirizzo IP pubblico
• Nome del browser
• Informazioni sull'ISP

Questi dati vengono acquisiti tramite la semplice apertura di un link da parte dell'utente target, rendendo il processo di raccolta estremamente veloce, silenzioso e immediato. L'approccio minimalista ma efficace di Hound permette agli operatori di ottenere preziose informazioni in tempo reale senza bisogno di software complessi o configurazioni avanzate.

Installazione e utilizzo di Hound

Di seguito verranno mostrati i passaggi per l'installazione di Hound su una distribuzione Kali Linux.

Per poter operare, Hound richiede la presenza di alcuni componenti fondamentali sul sistema. Nello specifico, la sua architettura si basa su un web server PHP per la gestione delle interazioni remote, mentre wget e unzip sono necessari per il download e l'estrazione dei file relativi a Cloudflare, un componente spesso utilizzato per la risoluzione DNS e la protezione del traffico web. Per installare tali componenti, eseguire il seguente comando dalla finestra terminale eseguita come root

apt-get -y install php unzip git wget

FIG 1 - Installa dipendenze

Per installare ed avviare Hound eseguire i seguenti comandi da terminale

git clone https://github.com/techchipnet/hound

cd hound

bash hound.sh

FIG 2 - git clone

All'avvio di Hound viene chiesto se utilizzare il tunnel Cloudflare (l'opzione è impostata di default su YES).  Digitare Y e premere invio. L'utilizzo del tunnel Cloudflare consente una connessione sicura tra il proprio server e la rete Cloudflare evitando di dover aprire porte sul firewall e configurare un ip pubblico.

FIG 3 - Hound

Dopo aver risposto affermativamente all'utilizzo del tunnel Cloudflare, Hound procederà al download dei file necessari, avviare il server PHP e il servizio di tunneling. Completate queste fasi, verrà mostrato un link (Direct link) che rappresenta l'url da inviare alla potenziale vittima.

FIG 4 - Hound, Direct link

Solitamente l'URL viene camuffata prima di essere inviata. I cybercriminali impiegano una varietà di metodi avanzati per nascondere i link malevoli, facendoli apparire legittimi e quindi più propensi a ingannare gli utenti ignari. Una tecnica prevalente prevede la manipolazione del DNS, dove gli aggressori compromettono la configurazione DNS di un dominio apparentemente autentico. Ciò consente loro di reindirizzare subdolamente gli utenti a un sito web dannoso senza che la vittima se ne accorga.

Per un camuffamento più semplice ma comunque efficace, vengono frequentemente utilizzati servizi di accorciamento URL come Bitly o TinyURL. Sfruttando queste piattaforme ampiamente riconosciute, un URL lungo e sospetto può essere trasformato in un link conciso e apparentemente innocuo come, ad esempio, bit.ly/Test-Intelligenza.

Il link ingannevole viene poi spesso distribuito sotto le spoglie di un servizio benefico, come uno strumento basato sull'intelligenza artificiale progettato per localizzare contatti nelle vicinanze. Questa tattica di ingegneria sociale mira a persuadere la vittima a concedere permessi, come la condivisione della posizione. Fondamentale è che, anche se l'utente rifiuta queste autorizzazioni esplicite, il semplice accesso al link mascherato può esporre dati preziosi all'aggressore. Aprendo il link, la vittima visualizzerà il messaggio indicato in FIG 5.

FIG 5 - Messaggio visualizzato

In caso di esecuzione riuscita, l'aggressore ottiene l'accesso a una vasta gamma di informazioni sulla vittima come coordinate GPS, tipo di browser, specifiche del dispositivo, indirizzo IP, risoluzione dello schermo, ecc.

FIG 6 - Hound, Information Gathering Report

Utilizzi Legittimi e Riflessioni Etiche

Sebbene Hound sia uno strumento potente e accessibile, è fondamentale ricordare che il suo utilizzo deve sempre avvenire nel rispetto della privacy altrui e delle normative vigenti. Come qualsiasi strumento di raccolta dati, è indispensabile ottenere il consenso esplicito degli utenti coinvolti. L'intento di questo articolo è puramente informativo e rivolto a un pubblico professionale consapevole dei rischi e delle responsabilità connesse all'uso di tali strumenti.

Kali Linux: Assegnare un Indirizzo IP Statico con nmcli

Nel cuore di ogni rete moderna, sia essa domestica o aziendale, batte un sistema di identificazione fondamentale: l'indirizzo IP (Internet Protocol). Questo identificativo numerico, una sequenza di quattro numeri separati da punti (es. 192.168.1.10), è l'equivalente digitale di un indirizzo civico per ciascun dispositivo connesso, sia via cavo che Wi-Fi. La sua unicità all'interno della rete locale è cruciale per il corretto instradamento dei dati.

Generalmente è il router il responsabile principale dell'assegnazione degli IP e questa operazione avviene in automatico grazie al protocollo DHCP (Dynamic Host Configuration Protocol). Il DHCP gestisce in modo intelligente la distribuzione degli indirizzi disponibili, prevenendo conflitti e garantendo che ogni nuovo dispositivo ottenga un'identità.

Tuttavia, la natura dinamica del DHCP, che può riassegnare un IP diverso ad ogni riavvio o riconnessione del dispositivo, pur essendo efficiente per la maggior parte degli scenari, può diventare un ostacolo in situazioni specifiche. Immaginate di configurare un server, una stampante di rete, un NAS (Network Attached Storage) o qualsiasi altro servizio che deve essere accessibile in modo prevedibile e costante. In questi contesti, un indirizzo IP dinamico può causare interruzioni di servizio o difficoltà di accesso. È qui che entra in gioco l'indirizzo IP statico: un'assegnazione fissa che garantisce la raggiungibilità del dispositivo allo stesso indirizzo nel tempo. Sebbene l'IP statico possa essere gestito anche dal server DHCP tramite una "prenotazione DHCP" (nota anche come IP reservation o DHCP static lease), in questo articolo ci concentreremo su come configurare direttamente un IP statico dal client Linux, offrendo un controllo granulare e immediato.

Configurazione di un IP Statico con nmcli

Uno strumento da riga di comando utile per la gestione della rete e incluso nelle principali distribuzioni Linux è nmcli. Può essere utilizzato per creare, modificare o rimuovere connessioni di rete, nonché per configurare manualmente un indirizzo IP statico.

Per iniziare, è possibile visualizzare le connessioni di rete configurate con il comando:

nmcli connection show

o

nmcli con show

Questo mostrerà un elenco delle connessioni disponibili, comprensive dei nomi e delle interfacce di rete associate (come ad esempio eth0).

FIG 1 - Connessioni di rete configurate

Prima di procedere con la configurazione tramite nmcli bisogna disporre di alcune informazioni necessarie come l'indirizzo ip statico da assegnare, indirizzo del gateway, interfaccia di rete (in FIG 1 è eth0) e server DNS. Con tali informazioni possiamo eseguire il comando

sudo nmcli con add con-name "ip-statico" ifname eth0 type ethernet ip4 192.168.0.22/24 gw4 192.168.0.1

con-name "ip-statico": Assegna un nome descrittivo alla nuova connessione facilitandone l'identificazione.

ifname eth0: Specifica il nome dell'interfaccia di rete fisica a cui si applica questa configurazione (es. eth0).

type ethernet: Indica che si tratta di una connessione di tipo Ethernet. Per Wi-Fi, va utilizzato type wifi.

ip4 192.168.0.22/24: Imposta l'indirizzo IPv4 statico (192.168.0.22) e la subnet mask (/24 equivale a 255.255.255.0). Assicurati che l'IP scelto sia all'interno del range della rete locale.

gw4 192.168.0.1: Configura l'indirizzo del gateway predefinito per IPv4. Questo è tipicamente l'indirizzo IP del router.

FIG 2 - Imposta IP statico

Configurato l'ip statico è possibile passare alla configurazione dei server DNS.

I server DNS (Domain Name System) sono essenziali per la risoluzione dei nomi di dominio (es. google.com in 142.250.186.206). É possibile utilizzare quelli forniti dal proprio ISP, o server DNS pubblici affidabili come quelli di Google (8.8.8.8, 8.8.4.4) o Cloudflare (1.1.1.1, 1.0.0.1):

Il comando per settare i server DNS è

nmcli con mod "ip-statico" ipv4.dns "8.8.8.8,8.8.4.4"

FIG 3 - Imposta server DNS

Abilitare la modalità di configurazione manuale, disattivando il DHCP, con il comando

nmcli con mod "ip-statico" ipv4.method manual

Attivare la nuova connessione con

nmcli con up "ip-statico" ifname eth0

FIG 4 - Disattivazione DHCP e attivazione connessione

L’assenza di messaggi di errore indica che la configurazione è avvenuta correttamente. Per confermare l’attivazione della connessione e verificarne i dettagli, si può rieseguire il comando

nmcli connection show

FIG 5 - Nuova connessione attiva

Altri comandi utili per la gestione delle reti

Per controllare l’indirizzo IP attualmente assegnato al sistema, si può utilizzare

ip addr

Questo comando fornisce informazioni dettagliate sulle interfacce di rete e sugli indirizzi IP assegnati.

FIG 6 - ip addr

Per verificare se un dispositivo è raggiungibile e attivo si può usare il comando ping 

ping <indirizzo_IP>

ad esempio

ping 192.168.0.1

Per individuare l’indirizzo del gateway predefinito (di solito il router), si utilizza:

ip r

FIG 7 - ip r

Windows Server 2019: Configurazione Server di inoltro (DNS Forwarding)

In questo articolo vedremo come configurare un server di inoltro. Il server d'inoltro (DNS forwarder) è un server DNS che può essere utilizzato per la risoluzione delle query che i server DNS interni alla nostra rete non sono in grado di risolvere. In pratica la query, relativa a nomi DNS esterni, viene inoltrata ad un server DNS al di fuori della rete. Il server d'inoltro manterrà in cache le risoluzioni delle query recenti velocizzando la risoluzione degli stessi nomi effettuate da altri host della rete e riducendo il traffico DNS esterno al minimo

Configurazione Server d'inoltro

• Posizioniamoci sul nostro server DNS (server1dc). Da Server Manager cliccare su Strumenti e selezionare DNS.
  

  

  FIG 1 - Server Manager

  
  
• Cliccare, con il tasto destro del mouse, su Server1DC e selezionare Proprietà.
  

  

  FIG 2 - Gestore DNS

  
  
• Selezionare la scheda Server d'inoltro.
  

  

  FIG 3 - Gestore DNS, Proprietà Server

  
  
• Nella scheda Server d'inoltro, selezionare il primo indirizzo IP dall'elenco (si tratta di configurazioni di default del server) e cliccare sul pulsante Modifica.
  

  

  FIG 4 - Server d'inoltro

  
  
• Selezionare uno alla volta gli indirizzi IP proposti e cliccare su Elimina.
  

  

  FIG 5 -  Indirizzi IP server d'inoltro

  
  
• Aggiungiamo gli indirizzi IP dei server. Ad es. digitiamo l'indirizzo 1.1.1.1 seguito da invio per aggiungere il DNS di Cloudflare. Allo stesso modo possiamo aggiungere il server DNS di Google digitando 8.8.8.8 seguito da invio. Una volta inseriti i server DNS desiderati, cliccare su OK per chiudere la finestra.
  

  

  FIG 6 - Modifica indirizzi IP server d'inoltro

  
  
  
• Cliccare su OK.
  
  

  

  FIG 7 - Nuovi server d'inoltro

  
  

Linux: Svuotare la cache dei DNS

Il servizio DNS funziona come un sistema di traduzione, traducendo i nomi di dominio in indirizzi IP e viceversa; in genere si appoggia a un server gestito dal proprio provider di connettività o a server pubblici liberamente accessibili come quelli forniti da Google, Cloudflare, OpenDNS, ecc. 

Generalmente i sistemi operativi mantengono una cache locale per velocizzare l'accesso alle risorse utilizzate più spesso ed evitare di effettuare ogni volta una chiamata al server DNS remoto. Tuttavia, all'interno della cache del DNS, possono crearsi inconsistenze che impediscono l'accesso ad alcuni siti o alla visualizzazione di contenuti non aggiornati. In questi casi è utile poter eliminare il contenuto della cache DNS in modo tale da interrogare nuovamente il server DNS per una corretta risoluzione dell'URL.

Non tutte le distribuzioni Linux hanno abilitato di default la cache dei DNS. Per verificarlo basta eseguire il seguente comando dalla finestra terminale
systemctl is-active systemd-resolved
se il sistema risponde con Active allora la cache è abilitata.

FIG 1 - Verifica abilitazione cache DNS

Per abilitare la cache dei DNS bisogna abilitare ed avviare il servizio systemd-resolved con i comandi

sudo systemctl enable systemd-resolved.service

sudo systemctl start systemd-resolved.service

Per disabilitare la cache dei DNS

sudo systemctl disable systemd-resolved.service

sudo systemctl stop systemd-resolved.service

Con il comando

resolvectl statistics
Vengono visualizzate informazioni sintetiche principali sullo stato della cache come il numero di elementi memorizzati.

Per svuotare la cache dei DNS il comando da eseguire è
resolvectl flush-caches