|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Serge 2:5020/400 12 Jul 2004 14:09:51
To : Aleksey Barabanov
Subject : Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)
--------------------------------------------------------------------------------
Когда часы показывали Mon, 12 Jul 2004 08:06:32 +0000 (UTC)
"Aleksey Barabanov", a.k.a. "AB",
писал(а) о "Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)":
>> (fw=firewall, gw=gateway)
>> И в данном случае будет ли разница между вот такими случаями:
>> 1) ftp в сети за fw-gw
>> 2) ftp на fw, слушающий внутренний интерфейс, в chroot, доступ
>> снаружи - NAT-ом
AB> Это уже технология. А вот "Ftp на fw предоставляет дырку для взлома
AB> самого fw и всей сети за ним расположенной." это исходная посылка
AB> для создания упомянутой технологии.
Дырка она и есть дырка. И её надо как-то закрывать, чтоб лишнего чего
не случилось.
AB> Давайте разбираться. Для этого сначала договоримся об исходных
AB> утверждениях.
AB> 1. Утверждаете ли вы, что fw это отдельный хост ?
fw - это _функция_ хоста. Или, может, атрибут. Фильтрация пакетов.
AB> 2. Утверждаете ли вы, что gw может быть без fw ?
gw - это, точно так же функциональность. Маршрутизация пакетов.
Только обычно к этому добавляется и фильтрация пакетов fw.
AB> 3. Утверждаете ли вы, что ftp-хост не должен иметь fw.
Эх. Помнится, подымалась тут как-то тема "так ли нужен сетевой
экран" (fw). пришли, вроде бы, к выводу, что оно требуется только
в местах сопряжения сетей (там, где gw), и в местах острой в fw
необходимости на отдельных хостах.
AB> Что из сказаного примем за априорную истину ? Если я что-то забыл,
AB> дополните. Если что-то переврал, поправьте.
Вспоминаем, с чего всё это (про ftp) началось...
- ---
EBB> Зачем ftp на файрволе? Унести ftpd на другую машину, а это - в FORWARD.
AB> Опять же. Почему сразу то ? И чем ftp на файрволе менее защищен чем ftp
AB> внутри сети или напротив более ? Какая разница то ?
- ---
Т.е. как раз вопрос и ставился в плане того, что ftp на gw -
несекьюрно, и его надо на отдельную машину за gw+fw ставить.
ftp-сервер, стоящий что на gw, что в сети за gw одинаково защищён
fw на этом самом gw.
Проблема возникает в безопасности самой сети - если на уровне пакетов
fw справляется одинаково надёжно, то на уровне приложения ftp
безопасность определяется качеством реализации этого сервиса.
И от этого, в случае установки ftp на gw, пострадать может
не только отдельно взятый компьютер, а вся сеть целиком.
Хотя чего это я. :)
Hу вот в этом плане, будет ли chroot+nat в случае с ftp-сервером
на маршрутизаторе, при-bind-инном к внутреннему интерфейсу,
эквивалентен отдельному компьютеру за gw+fw/nat.
(переписывать другими словами у меня не получится)
AB> Здесь главное выяснить зачем устанавливается fw и зачем ftp. По
AB> аналогии, есть ли автомобили без тормозов (fw) и не слишком ли
AB> рискуют те кто разгоняется за 40 км./ч (ftp).
Hе совсем понял аналогию..
--- ifmail v.2.15dev5.3
* Origin: Member ID not found! (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
