|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Serge 2:5020/400 13 Jul 2004 07:20:20
To : Aleksey Barabanov
Subject : Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)
--------------------------------------------------------------------------------
Когда часы показывали Mon, 12 Jul 2004 11:10:24 +0000 (UTC)
"Aleksey Barabanov", a.k.a. "AB",
писал(а) о "Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)":
[[...вкралась мысль.. где бы почитать о том, что следует
оставлять из предыдуших писем, что бы было понятно, о чём
речь.. в общем.. excuse me за возможный over***ing...]]
AB> Serge wrote:
>>>> (fw=firewall, gw=gateway)
>>>> И в данном случае будет ли разница между вот такими случаями:
>>>> 1) ftp в сети за fw-gw
>>>> 2) ftp на fw, слушающий внутренний интерфейс, в chroot, доступ
>>>> снаружи - NAT-ом
>>> Это уже технология. А вот "Ftp на fw предоставляет дырку для
>>> взлома самого fw и всей сети за ним расположенной." это
>>> исходная посылка для создания упомянутой технологии.
>> Дырка она и есть дырка. И её надо как-то закрывать, чтоб лишнего
>> чего не случилось.
AB> Hе торопитесь. Я готов вернуться к двум предложениям. И доказать что
AB> [2] это то что надо, а [1] это лишь некоторая форма самообмана.
Сложно назвать это именно самообманом, поскольку чисто технически
реализовать [1] проще [2] при том же уровне защищённости.
Т.е. отдельно стоящий комп обесправить в сети и обвещать сигнализацией
легче, чем то же самое, но в [2].
>>> Давайте разбираться. Для этого сначала договоримся об исходных
>>> утверждениях.
>>> 1. Утверждаете ли вы, что fw это отдельный хост ?
>> fw - это _функция_ хоста. Или, может, атрибут. Фильтрация пакетов.
AB> Т.е. к fw может быть на любом хосте, а точнее на любом линуксовом
AB> ip-стеке.
>>> 2. Утверждаете ли вы, что gw может быть без fw ?
>> gw - это, точно так же функциональность. Маршрутизация пакетов.
>> Только обычно к этому добавляется и фильтрация пакетов fw.
AB> Т.е. "gw - это функциональность". Полностью согласен. Аналогично и
AB> ftp тоже функциональность.
>>> 3. Утверждаете ли вы, что ftp-хост не должен иметь fw.
>> Эх. Помнится, подымалась тут как-то тема "так ли нужен сетевой
>> экран" (fw). пришли, вроде бы, к выводу, что оно требуется только
>> в местах сопряжения сетей (там, где gw), и в местах острой в fw
>> необходимости на отдельных хостах.
AB> Есть разница в утверждениях "оно требуется" и "не должен иметь". Я
AB> так понимаю, что первое не утверждает второго. Тем более что раз вы
AB> согласились что gw/ft это функциональности и fw это свойство
AB> ip-стека, то все перечисленные функциональности могут сочетаться с
AB> упомянутым свойством ip-стека.
Приравнивать функциональность gw и ftp некорректно, поскольку они
находяится на разных уровнях OSI.
Собственно, gw является _прямой_ функциональностью текущей реализации
ip-стёка.
fw - есть _производная_ функциональность. Ведь технически она является
подключаемой и для неё сделан специальный интерфейс.
ftp как функциональность реализуется _поверх_ tcp/ip.
[[ну и дебри попались... :) продираться сложно..]]
Поэтому, сам вопрос о том, может/не может ли быть компьютер gw, fw, и
ftp-сервером имеет разные ответы.
/И в общем. Вся беда с разными функциональностями при реализации их
на компьютере заключается в его, компьютера, универсальности./
>>> Что из сказаного примем за априорную истину ? Если я что-то
>>> забыл, дополните. Если что-то переврал, поправьте.
>> Вспоминаем, с чего всё это (про ftp) началось...
>> ---
>> EBB> Зачем ftp на файрволе? Унести ftpd на другую машину, а это -
>> EBB> в FORWARD.
>> AB> Опять же. Почему сразу то ? И чем ftp на файрволе менее
>> AB> защищен чем ftp внутри сети или напротив более ? Какая
>> AB> разница то ?
>> ---
AB> Именно это я и утверждаю. И если вы утверждаете, что некая
AB> функциональность, а именно ftp, имеет дыру, то я считаю, что
AB> перенос ее с фронта сети внутрь ничего не добавляет к её
AB> защищённости.
К самой защищённости как таковой - да, не добавляет.
Вот простоты реализации того же уровня защищённости - да.
>> Т.е. как раз вопрос и ставился в плане того, что ftp на gw -
>> несекьюрно, и его надо на отдельную машину за gw+fw ставить.
AB> Это значит что вы готовы подарить машину внутри сети хакеру ? И
AB> сколько времени вы после этого оставляете на взлом ресурсов сети ?
Это чначит, что я считаю внешнюю сеть, интернет, агрессивной средой.
И что нет такого ПО, которое не содержало бы ошибок.
В этом плане захват отдельно стоящего зоста за gw/fw затруднён самой
схемой включения, плюс больше возможностей на сигнализацию.
И прав у такой машинки может быть очень мало.
Поэтому ущерб от вывода из функционирования отдельного ftp-сервера
меньше, чем от потери контроля над gw. (*)
AB> Вы вдумайтесь. Есть проблема пройти файрвол, пройти механизм
AB> преобразования адреосов. А тут подарок - дырявая машина внутри сети
AB> и в неё доступ снаружи !
Для remote exploit это как раз не проблема, fw+nat..
Пакет-то с запросом вполне легальный.
>> ftp-сервер, стоящий что на gw, что в сети за gw одинаково защищён
>> fw на этом самом gw.
>> Проблема возникает в безопасности самой сети - если на уровне
>> пакетов fw справляется одинаково надёжно, то на уровне приложения
>> ftp безопасность определяется качеством реализации этого сервиса.
>> И от этого, в случае установки ftp на gw, пострадать может
>> не только отдельно взятый компьютер, а вся сеть целиком.
AB> ;)
AB> И так и так, если через ftp будет что-то взломано, но независимо от
AB> того где это произойдет сети конец.
Вопрос не в самом конце. А в том, насколько он будет быстрый и
сколько от этого за это время вреда будет причинено. (**)
...
AB> Файрвол фильтруею пакеты, а ftp это функциональность. Если ftp
AB> нужен, то вне зависимости от того где его устанавливать надо
AB> позаботится о его надежности. Взлом ftp вне зависимости от того где
AB> он расположен позволит сразу перейти к задаче получения
AB> привилегированного аккаунта на локалхосте ftp. И далее вне
AB> зависимости от того где это случиться, этот хост попадет под
AB> управление злоумышленника. После чего вся сеть под угрозой.
Hу вот. Вроде проясняется, что говорим об одном и том же. :)
Только есть небольшая разница, в (**).
...
AB> Поэтому fw нужен сам по себе. А если в fw сделан вход для ftp, то
AB> уже не важно где расположен ftp, о его защищенности надо позаботится
AB> особо.
Естественно. См. (*)
AB> Теперь второй вопрос.
AB> Есть gw. Защищённый. Постоянно наблюдаемый админом.
AB> Решаем куда поставить ftp.
AB> 1.Hа ещё один хост, удвоив тем самым оборудование и область внимания
AB> админа.
AB> 2.Поставить на gw, съэкономив на железе и использовав функционально
AB> жёстко настроенную среду gw.
AB> Это не вопрос безопасности. Здесь не идёт речь о выборе ftp или о
AB> том как его ограничить (chroot/SELinux или что-то ещё). Это лишь
AB> вопрос планирования ресурсов. И с т.з. планирования ресурсов мне
AB> второй путь, а именно установка на gw, представляется более выгодным
AB> ходом.
Hет. Это вопрос и безопасности, и планирования ресурсов.
В этой связи вспоминается DMZ и ей подобные.
PS: пошёл я учебники искать. может кучку собственных появившихся
вопросов в этой связи разберу...
--- ifmail v.2.15dev5.3
* Origin: Member ID not found! (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
