Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Victor Sudakov                       2:5020/400     30 Jul 2007  06:54:45
 To : Serge V Panchenko
 Subject : Re: ipfw and keep-state
 -------------------------------------------------------------------------------- 
 
 Serge V.Panchenko wrote:
 
 >  >>  VS> Hасчёт established спорно. Пропускать пакет от кого попало
 >  >>  VS> только на том основании, что на нём есть ACK bit?
 
 >  >> Hу, да. А что такого?
 
 >  VS> Как минимум на каждый такой левый сегмент твои хосты должны отвечать
 >  VS> TCP ресетом. Можно наверное придумать, как использовать это в
 >  VS> злонамеренных целях, например топологию сети разузнать.
 
 > Топологию сети за NAT'ом? ;-)
 
 И за натом тоже, если например нат статический.
 А если не статический, он как раз и обеспечит stateful inspection, за
 которую я ратую.
 
 >  VS> Зачем вообще пускать в сеть пакеты, в которых _заведомо_ ничего не
 >  VS> может быть полезного? Зря что ли делают правила против спуфинга etc?
 
 > Hу, давайте ещё пинги зарежем. От них, ведь, тоже проку мало. И трейсруту по
 > башке дадим.
 
 Совершенно согласен, если речь о внутренней защищаемой сети, например
 корпоративной.
 
 >  >> Ох уж эти юные админы в пионерских галстуках... ;-))
 
 >  VS> И не говори. Одни пионеры напридумывали разных stateful inspection,
 >  VS> adaptive security и прочего, а другие пионеры купились.
 
 > Есть и такая буква. В например, в CISCO 851-ой серии (это у которых
 > 4 соска во внутренний LAN и пропускная способность 500 кб/сек) тоже
 > есть эти фичи. И клиент за них плАтит. Только вот, пользует ли? А
 
 Скорее всего да. В простейшей конфигурации с динамическим натом оно
 примерно так и будет работать. 
 
 > если и пользует, то какой в этом смысл? Пять компьютеров обнести
 > железобетонной стеной и наделать в ней сотню картонных калиток?
 
 О калитках прошу поподробнее. Если речь об атаках через браузер и пр.,
 то это уже совсем другой вопрос.
 
 -- 
 Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
 2:5005/49@fidonet http://vas.tomsk.ru/
 --- ifmail v.2.15dev5.3
  * Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: ipfw and keep-state   Victor Sudakov   30 Jul 2007 06:54:45 
 ipfw and keep-state   Serge V.Panchenko   30 Jul 2007 13:21:27 
 Re: ipfw and keep-state   Victor Sudakov   30 Jul 2007 14:50:05 
 ipfw and keep-state   Serge V.Panchenko   30 Jul 2007 20:31:29 
Архивное /ru.unix.bsd/9167e3fa98ed.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional