[ LUGOS ] Preprost pz
Andrej Presern
andrejp na luz.fe.uni-lj.si
Pon Okt 4 13:38:05 CEST 1999
On Mon, 04 Oct 1999, Boris Benko wrote:
>>
>
>tJaZy wrote:
>
>> On Sun, 3 Oct 1999, jernej horvat wrote:
>>
>> > ICMP sem v celoti zaprl, ampak to ni resitev....
>> Ehm,mislim,da to ni najboljsa ideja. :>)))
>
>Ehm, sicer je res, da se ICMP uporablja za inband signalizacijo, ce je
>kaj narobe in je lepo, ce recimo kaj montiras z SATANom in ti javi port
>unreachable, vendar... Vecina firewall adminov ni tako prijazna in
>blokirajo porte, ce jih pa firewall vprasa ali naj poslje ICMP nazaj,
>jih dosti pove, da ne. Manj informacij in paketov posiljas nazaj, boljse
>je... Bolj je napadalec v temi (ker ne ve, recimo, ce ti kaj blokiras,
>nimas servisa ali je nekje drugje blokirano).
Ce imas dolocen servis blokiran, je popolnoma vseeno, ali vrnes paketek, v
katerem poves, da je servis blokiran, ali ne vrnes nobene informacije o tem.
Odprte servise se da namrec ugotoviti po tem, kaj se odziva, pa tudi po tem,
kaj se ne odziva - ce je servis odprt, se bo odzval (obicajno hitro), ce ni
odprt, se ne bo odzval sploh (oz. se bo odzval s timeoutom na source strani)
ali pa bos dobil sporocilo, da je zaprt. V obeh primerih bos tocno vedel, kaj
je odprto in kaj ne, le da bo v primeru, da ne dobis direktno vrnjene nobene
informacije o tem, trajalo malo(!) dlje.
Razlike v varnosti torej ni pri tem, ali napadalec lahko dobi informacijo o
odprtih in zaprtih servisih. Razlika v varnosti je v tem, ali nek servis JE
odprt za napadalca, ali NI.
Nevarnost namrec ni v firewallu, nevarnost je v servisu - ce ima ta napake, ki
se jih da zlorabiti. Ce je servis potencialno nevaren, se dostop do njega
omeji na segment mreze, ki se mu zaupa (pa naj bo to lokalna mreza ali ena
sama masina na internetu), in takrat VES, da ga ne bo mogel nihce od zunaj
uporabiti, pa tudi zlorabiti ne.
Vecina firewall adminov obicajno s svojimi nastavitvami mocno pretirava, tako
glede na vsebino mreze, ki naj bi jo scitili, kot tudi z metodami, ki jih
uporabljajo pri zasciti, pri tem pa obicajno sploh ne poskrbijo za dejansko
varnost temvec le ustvarjajo iluzijo varnosti (kot je to primer pri opisanih
skrivalnicah servisov - ko jim pa nato nekdo mimo vseh njihovih skrivalnic
izvede port scan masin za firewallom, pa samo debelo gledajo.. ali pa sploh
ne opazijo).
>Se pa strinjam, da je res lepo, ce po ICMP firewall pove nazaj, kaj ga
>tezi.
Andrej
--
Andrej Presern, andrejp na luz.fe.uni-lj.si
Dodatne informacije o seznamu Starilist