The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Linux as firewall


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
 From : Alex Korchmar                       2:5020/28.101   27 Nov 98  03:30:54 
 Subj : Re: Linux as firewall                                                   
________________________________________________________________________________
Tim Kutergin <[email protected]> wrote:

>> Вопрос, собственно, риторический. Я более чем уверен, что ты имеешь,
>> фактически, сплошную дыру.
 TK>   Я думаю, на Linux можно создать практически непрошибаемый извне
 TK> firewall уровня application proxy, несмотря на наличие дырок в некоторых
я тоже так думаю. Hо я _умею_ это делать. А тот, кому я писал - скорее
всего, нет.

 TK> сервисах. Зарубается IP-forwarding. Зарубаются входные соединения. Явно
 TK> разрешаются только клиентские соединения к Internet. Ставится набор
 TK> необходимых посредников - SQUID,TIS,SOCKS и т.п. Как можно что-то
блям. 
 TK> взломать, если на любую попытку получаешь "connection refused" ? Остается
найти очередную, 1024-ю, дыру в squid, или, еще проще, в его настройках.
Влезть на эту машину, хоть юзером nobody, поиметь рута (пять минут для
среднеламерской системы и кульхакера, столь крутого, что он даже умеет
набрать www.rootshell.com [т.е. уже окончившего третий класс начальной
школы]) поставить снифферов и какой-нибудь rootkit, поиметь пароли на
юзерские тачки.  (для запуска крэкера очень удобно использовать эту самую
машину с линуксом) Подсунуть Bo. Поиметь всю остальную сеть. Употребить
все тот же линукс для сканирования портов у следующих лохов - если они
окажутся не совсем лохами, то, по крайней мере, ловить и давить дружно
кинутся не хакера, а того, кого он поимел.

Указанный сценарий имеет скверную привычку реализовываться в жизни.

Разумеется, можно как следует настроить сквид, можно вовремя сапгрейдить
намед, можно пускать их с chroot, можно хоть pwconv пускать в
свежепоставленном redhat'е (что там, 60% установленнных линуксов не
имеют shadow? Hю-ню!) Hу да, можно.

А можно просто настроить как следует виндузячью сетку, и лазить через
wingate (тоже как следует настроенный). Причем среднему чайнику проще
именно второе. Hо почему-то все они убеждены, что у них получится первое.

>> Больше толку было бы от NT с MS Proxy на этом месте.
 TK>   Hу-ну. Только еще такого глюка с кучей недокументированных функций
 TK> еще в интернете и не хватает.
сколько тебе известно случаев "security compromise" систем на базе NT
с MS Proxy server ? Подозреваю, ноль.

Мне известны по крайней мере три случая с линуксами. (когда я говорю "по
крайней мере", я имею в виду, что остальные я не могу даже с уверенностью
определить как таковые. Спасибо гениальной системе убивания логов имени
красной кепки на пустом жбане.)

Меня нимало не утешает факт, что ни один из этих линуксов не настраивал я.

 TK>   И как ты ее взломаешь ? Если любое соединение выдает "connection
 TK> refused" ?
named у тебя, скажем, есть? А какой версии? А откуда чайнику это знать?
Только ли на eth0 слушает твой сквид? А откуда [..]?
Для контроля за работой сквида предполагается использовать cachemgr.cgi.
вопрос: сколько чайников именно его и используют и у скольких из них при
этом образуется смотрящий в интернет апач, при наличии в /cgi-bin дырявых
скриптов, входящих в комплект поставки?

>>  AK>> по-моему, нет. В частности, ты явно не понимаешь, что наличие линукса
>>  AK>> с прямым подключением к интернет и есть основная угроза безопасности.
>>  AK>> Все остальные, по сравнению с этой - минимальны.
 TK>   Hу ни фига себе ! Что, так трудно защитить свою машину пакетными
 TK> фильтрами и tcp-wrappers, отключить ненужные сервисы и поставить
 TK> non-executable stack patch ? Конечно, 100% защиты все равно не получить,
об этом надо _знать_. Причем именно самому, а не от меня или тебя услышать
краем уха - иначе получится _иллюзия_ безопасности, потому что о чем-то
совершенно очевидном сказать ты забудешь.

 TK> но неужели такая дыра как NT в интернет вызывает меньше опасений ?
покажи пожалуйста конкретную дыру. Хоть одну. DoS попрошу не показывать,
мне известно их не меньше и в линуксе.

 TK>   Пакетные фильтры не являются наиболее надежным видом firewall.
с пакетных фильтров любой файрволл начинается.
Иначе к нему придут в гости, просто подсунув спуфнутый адрес. 

 TK> Сервера-посредники более надежны и предоставляют дополнительные
 TK> возможности типа кеширования. Да и глюков поменьше, чем при NAT.
а еще они предоставляют дополнительную возможность посадить плюху.
Массу дополнительных возможностей. 


> Alex

--- ifmail v.2.14.os-p2
 * Origin: Down System -2 (2:5020/28.101@fidonet)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру