[ LUGOS ] Preprost pz

Boris Benko boris.benko na telekom.si
Pon Okt 4 21:03:29 CEST 1999


Andrej Presern wrote:
> 
> Ce imas dolocen servis blokiran, je popolnoma vseeno, ali vrnes paketek, v
> katerem poves, da je servis blokiran, ali ne vrnes nobene informacije o tem.
> Odprte servise se da namrec ugotoviti po tem, kaj se odziva, pa tudi po tem,
> kaj se ne odziva - ce je servis odprt, se bo odzval (obicajno hitro), ce ni

Vse kar si povedal, je do neke mere res. Torej, da je vecji problem z
odprtimi servisi, kot z zaprtimi.

Vendar se pri zaprtem servisu, recimo kaksen telnet navznoter pojavi
vprasanje ali je servis zaprt samo za potencialnega napadalca, za vse,
oziroma za kateri segment mrez pa je odprt. Nekdo recimo lahko port
odpre samo za domene .si ali kaj takega. Potencialni napadalec bo potem
poskusal ugotoviti, v kaksnih primerih primerih pa je port odprt in
poskusil spoofati source adreso ali bo vdrl v racunalnik, za katerega je
port na firewallu *odprt*.

Pri tem napadalcu, kakor koli si trdil drugace, zelo pomaga
kooperativnost firewalla. Ce firewall takoj javi ICMP, potem napadalec
ve, da za dano kombinacijo ne bo kruha. Ce pa je timeout, potem pa mora
vsaj cakati nekaj casa. Poleg tega mogoce port ni zaprt na firewallu
ampak na ruterju pred firewallom. Iz ICMPja dobi informacijo o tem, kdo
zapira port! In je v osnovi pravzaprav napadalec poskusal odstraniti
oviro na napacnem koncu, t.j. na firewallu, v resnici pa je blokada na
ruterju.

Res je tudi, da v koncni fazi je vseeno, ce port blokira ruter ali
firewall, ce je napadalec nasel kombinacijo, za katero ni blokade.
Vendar mu blokada pogosto otezuje delo na sistemu, v katerega je vdrl
(ali vsaj deloma vdrl). Recimo, da to zahteva, da mora predhodno vdreti
se na nek drug, tudi varova n sistem. Moznosti, da ga odkrijejo, so
vecje, ker je pustil potencialno sled se na enem racunalniku. Interes
vdiralca je, da se prijavi nekje od dalec, recimo iz Spanije,
Portugalske, Ukrajine, ... To pomeni, da mora blokado vsaj malo
sprostiti, da si bo olajsal delo (ce namerava dolgorocno pobirati kaksne
informacije). Potem pa na koncu vseeno ni vseeno, kateri sistem ga
blokira.

Tako da... Jaz bi vseeno ne dajal ICMP informacij navzven...

=b

-- 
============================================================================
mag. Boris Benko                      | E-mail: Boris.Benko na telekom.si
Telekom Slovenije, PE Murska Sobota   |         B.Benko na s-gms.ms.edus.si
Senior Prog./Sys admin./Informatik    |         Boris.Benko na computer.org
Slu§ba za informatiko                 | Phone: (work) +386 69 31 676
                                      |        (ISDN) +386 69 14 632
===========================================================================




Dodatne informacije o seznamu Starilist