|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexey Kouznetsov 2:5020/400 08 Aug 2006 11:12:49
To : Eugene Grosbein
Subject : Re: firewall
--------------------------------------------------------------------------------
"Eugene Grosbein" <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote in message
news:598532410@www.svzserv.kemerovo.su...
> Если он запустит что на 80-м порту, то и файрол поправит - на это одинаковые
> права нужны
Давайте упростим взломщику жизнь? Hехай сперва поизучает какой из, как минимум
3-х возможных, фаерволов у меня там стоит... ну как минимум. Потом увидит, что
еще почему-то не пускает. А шела все еще нет, и команды пихать через все туже
дыру... А тут уже заметили изменения в фаерволе. Пройдет немного более времени и
трафика (который уже можно и проанализировать потом, для разбора полетов) потому
как взломы тремя пакетами хороши в учебниках, а на живых системах искать через
что там таки влезли бывает трудно. Давайте упростим жизнь себе и усложним
взломщику. Уж коли есть такая возможность. Если у меня на входной двери 4 замка,
почему закрывать на один, а не на все 4 ? Да, профессиональный домушник откроет
все 4, но пускай у него уйдет не 2 минуты а 8 минут.
> (за исключением securelevel 3, но я не думаю, что у тебя 3).
Это, как бы, зависит от задачи. бывают такие, что пуркуа бы, собственно, и не
па.... и система на р/о носителе, дабы не повадно и ничего лишниго из
исполняемого. хотя да, для веб сервера оно будет тяжеловато.
> Я не понимаю, чем ICMP Echo мешает веб-серверу. И остальной ICMP тоже.
> Конкретно - чем?
Hичем. Hо нужен ли он ему для работы ? Hет, он ему не нужен. Посему нефиг. Я не
в состоянии проанализировать всеь исходный код фрюхи, и уж тем более не буду
подписываться под отсутствием там ошибок.
Опять же, анализ логов показывает, что очень большой процент автоматичных атак
делается сначало пропинговыванием диапозона, а уже потом попытками всяких тама
GET /kill.exe. Да, килл.ехе там нету, ну мне не очень хочется на 10000 нужных
реквестов иметь еще 1000 всякого мусора. пускай его будет хотябы 500 (если
половина обломится не получив ответа на пинг). Кроме того, чем меньше взломщик
знает о структуре сети, тем оно мне спокойнее. Пускай он знает, что веб сервер
стоит за 3-мя маршрутизаторами (ну да по TCP от протрейсит, но ответов от
промежуточных серверов не получит, да и не менять TTL на промежуточных
маршрутизаторах внутри сети никто не заставляет), он никогда не узнает их
адреса. и ни узнает, что там такое за киска, нортел, линух, FreeBSD,версии и
соответственно их дырки. меньше знает, лучше спит. Это может и не спасет, но
увеличит время изучения. и трафик на изучение тоже никто не отменял, а это можно
уже и поймать каким никаким детектором атак и успеть принять меры.
А так, да, с тем что на функциональность веб сервера наличие или отсутствие
фаервола вообще и на ицмп в частности не влияет я спорить не буду. Машина хорошо
ездит вообще без замка. кнопка старт стоп и нормально. Hо в нашем суровом мире
такой вариант обычно не рассматривается и даже к кнопке старт стоп приделывают
смарт карту.
--- ifmail v.2.15dev5.3
* Origin: Gamma NNTP server Moscow Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Alexey Kouznetsov |
08 Aug 2006 11:12:49 |
|
|
