|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 30 Jul 2007 14:50:05
To : Serge V Panchenko
Subject : Re: ipfw and keep-state
--------------------------------------------------------------------------------
Serge V.Panchenko wrote:
> >> Есть и такая буква. В например, в CISCO 851-ой серии (это у которых
> >> 4 соска во внутренний LAN и пропускная способность 500 кб/сек) тоже
> >> есть эти фичи. И клиент за них плАтит. Только вот, пользует ли? А
> VS> Скорее всего да. В простейшей конфигурации с динамическим натом оно
> VS> примерно так и будет работать.
> >> если и пользует, то какой в этом смысл? Пять компьютеров обнести
> >> железобетонной стеной и наделать в ней сотню картонных калиток?
> VS> О калитках прошу поподробнее. Если речь об атаках через браузер и пр.,
> VS> то это уже совсем другой вопрос.
> Hе бывает одно без другого. Когда закрывается маленькая сетюшка,
> почти бессмысленно наворачивать защиту с логикой - ибо
> целенаправленная (на данную сеть) атака если и будет делаться, то
> совсем не через RST.
Боюсь, ты преуменьшаешь опасность. Какова судьба винды, выставленной в
Интернет? IMHO заражение наступает через несколько минут.
Слово "наворачивать" тоже вряд ли уместно. В виденных мной продуктах
stateful inspection в простых случаях не требовал практически никакой
конфигурации.
Помнится, меня в своё время весьма впечатлило, как это сделано в ipf.
Включалось одним словом state.
> И кроме атак через браузер/icq/почту есть ещё и
> атаки через людей (слово "инсайдер" тут уже всплыло) - это гораздо
> эффективнее. IMHO, конечно.
Против разных угроз есть разные методы. Hо не стоит пренебрегать одной
из угроз на том основании, что существуют и другие угрозы.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5.3
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
