форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"безопасность пассивного фтп"
Сообщение от oleg on 26-Май-02, 16:12  (MSK)
Hi, all!! Великие гуру! К вам взываю я!Есть, значит такая штука-passive ftp. Насколько я понимаю, data channel в таком случае организовывается с непривилегированного порта на клиенте на непривилегированный порт на сервере. Но скажем, юниксовый клиент можно запустить так, чтобы он использовал какой-то диапазон портов вверху или внизу. Но или гребаные виндовые клиенты (flashget, windows commander,far ) такие в этом смысле кривые, или сервера в инете такие (последний пример-narod.ru), но пакеты идут совершенно со случайного непривилегированного порта-20xxx, 3xxxx, 4xxxx и т.д. (промониторил firewall). На примере книжки "Брандмауэры в Linux" написал такой ipfw rule: ${fwcmd} add allow tcp from $class_c $unprivports to any 21 ${fwcmd} add allow tcp from any 21 to $class_c $unprivports established {$fwcmd} add allow tcp from $office_net $unprivports to  any $unprivports {$fwcmd} add allow tcp from any $unprivports to $office_net $unprivports established Все замечательно работало, качалось и т.д. Но как-то посмотрел статистику- 60 процентов трафика уходило на это правило. После мониторинга увидел что там и morpheus c napsterom тусуются, и всякая дрянь. morpheus c napsterom я отрезал, но вообще это же неправильно(или я ошибаюсь?)- с любого непривилегированного порта на любой непрвилегированный порт пакеты пропускать, пусть даже и established. И это правило я удалил. Теперь юзеря воют, кляузу боссам настрочили. Что делать? Может оставить как было? Есть ли какие либо проблемы с безопасностью в таком случае? Или можно как-то по-другому пропустить passive ftp через  firewall? Заранее благодарю.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: безопасность пассивного фтп"
Сообщение от oleg on 31-Май-02, 00:39  (MSK)
Что, вопрос очень глупый? или очень сложный?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: безопасность пассивного фтп"
	Сообщение от lavr on 31-Май-02, 12:40  (MSK)
	>Что, вопрос очень глупый? или очень >сложный? в пассивном режиме клиент дает запрос серверу, тот в свою очереди сообщает клиенту random номер для коннекта. Остальное зависит от сервера, нормальные сервера имеют определенный диапазон для random высоких(непривилегированных) портов. Исходя из этого и строятся firewall'ы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: безопасность пассивного фтп"
Сообщение от Sampan on 31-Май-02, 23:36  (MSK)
>{$fwcmd} add allow tcp from $office_net $unprivports to  any $unprivports >{$fwcmd} add allow tcp from any $unprivports to $office_net $unprivports established Вот этими правилами ты разрешил работу всех пиринговых клиентов (ICQ, Napster, Gnutella etc) и троянов всех мастей! >можно как-то по-другому пропустить passive ftp через firewall? А почему ты так настаиваешь на passive ftp? IMHO лучше реализовать правила для нормального FTP, чем допускать в сеть Napster. Попробуй вместо этих двух правил сделать: ${fwcmd} add allow tcp from any 20 to $office_net $unprivports ${fwcmd} add allow tcp from $office_net $unprivports to any 20  established Будет нормальный FTP Конечно, без connection tracking возникает небольшая потенциальная дырка. Но для ее реализации нужно ну очень постараться: на внутреннем хосте должен слушать троян на верхних портах (именно слушать - сам троян наружу не пройдет - established). При этом, снаружи нужно устанавливать с ним связь только с 20 порта. IMHO маловероятно.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: безопасность пассивного фтп"
	Сообщение от oleg on 01-Июн-02, 23:05  (MSK)
	>>{$fwcmd} add allow tcp from $office_net $unprivports to  any $unprivports >>{$fwcmd} add allow tcp from any $unprivports to $office_net $unprivports established > >Вот этими правилами ты разрешил работу всех пиринговых клиентов (ICQ, Napster, Gnutella >etc) и троянов всех мастей! >>можно как-то по-другому пропустить passive ftp через firewall? > >А почему ты так настаиваешь на passive ftp? IMHO лучше реализовать правила >для нормального FTP, чем допускать в сеть Napster. > >Попробуй вместо этих двух правил сделать: >${fwcmd} add allow tcp from any 20 to $office_net $unprivports >${fwcmd} add allow tcp from $office_net $unprivports to any 20  established > >Будет нормальный FTP > >Конечно, без connection tracking возникает небольшая потенциальная дырка. Но для ее реализации >нужно ну очень постараться: на внутреннем хосте должен слушать троян на >верхних портах (именно слушать - сам троян наружу не пройдет - >established). При этом, снаружи нужно устанавливать с ним связь только с >20 порта. IMHO маловероятно. Да теперь и есть только нормальный FTP. Просто история началась с того, что один программер перестал заливать файлы на свою домашнюю страничку где-то то ли на narod.ru , то ли на da.ru с помощью windows commandera. Far то же не помог. Расследование показало, что в независимости от настроек клиента соединение совершалось на непривелигированных портах в пассивном режиме. Соответственно, передача завершается на "open data channel...". В книге же было сказано, что такая организация соединения,хм,так сказать,не чен опасна. Ну вроде запрос идет со стороны интранета, а не стороны интернета, и т.д. и т.п. Поэтому такой вопрос и возник. Спасибо за отклик!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.