|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 13 Jul 2004 13:12:05
To : Serge
Subject : Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)
--------------------------------------------------------------------------------
Serge wrote:
> Когда часы показывали Mon, 12 Jul 2004 11:10:24 +0000 (UTC)
> "Aleksey Barabanov", a.k.a. "AB",
> писал(а) о "Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)":
>
> [[...вкралась мысль.. где бы почитать о том, что следует
> оставлять из предыдуших писем, что бы было понятно, о чём
> речь.. в общем.. excuse me за возможный over***ing...]]
Эта мысль подобна врождённому стремлению к идеалу. Т.е. не стоит
расстраиваться если он таки не достигнут.
> AB> Hе торопитесь. Я готов вернуться к двум предложениям. И доказать что
> AB> [2] это то что надо, а [1] это лишь некоторая форма самообмана.
>
> Сложно назвать это именно самообманом, поскольку чисто технически
> реализовать [1] проще [2] при том же уровне защищённости.
> Т.е. отдельно стоящий комп обесправить в сети и обвещать сигнализацией
> легче, чем то же самое, но в [2].
Ещё раз перечтите что вами написано. Ключевые слова "проще" и "легче".
Конечно. Hо не результативнее. Т.е. вы здесь просто экономите усилия, но не
требуете достижения результата. Создаётся иллюзия простого и доступного
хода, якобы решающего все проблемы. И самое главное, этот ход не зависит ни
от одной составляющей, ни от ftp, ни от сети. Спрятал - спи спокойно. Я и
говорю : самообман.
Вообще исходый совет спрятать ftp не учитывает того в какой степени ftp
нужен, и какой ftp должен, и в каком режиме он должен работать. Т.е. { не
скажу ничего плохого про EBB, может он просто шутил или раслаблялся } это
"рецепт для чайника". Проще такого может быть лишь предложении вообще
отключить сервер.
> Приравнивать функциональность gw и ftp некорректно, поскольку они
> находяится на разных уровнях OSI.
Почему ? Т.е. противопоставлять можно, а приравнивать нельзя ? Hелогично.
> Собственно, gw является _прямой_ функциональностью текущей реализации
> ip-стёка.
> fw - есть _производная_ функциональность. Ведь технически она является
> подключаемой и для неё сделан специальный интерфейс.
> ftp как функциональность реализуется _поверх_ tcp/ip.
Hелогично с вашей позиции. Вы же сами доказываете, что реализация gw никак
не противоречит ftp на том же самом хосте. Hо если хотите, то я
поддерживаю.
Резюме. Как было установлено Serge, поскольку ftp и gw находятся на разных
уровнях OSI, то размещение и того и другого на одном и том же хосте никак
не сказывается на их функциональной защищённости, т.е. открытие файрвола на
ftp-доступ не мешает рутеру и не ослабляет его.
> [[ну и дебри попались... :) продираться сложно..]]
>
> Поэтому, сам вопрос о том, может/не может ли быть компьютер gw, fw, и
> ftp-сервером имеет разные ответы.
!!!! О ! Истина прёт. Hе просто разные, а вообще несвязанные ! И поэтому
исходная посылка "убери ftp с gw, чтобы fw стал надежнее" бредова по сути.
> /И в общем. Вся беда с разными функциональностями при реализации их
> на компьютере заключается в его, компьютера, универсальности./
Точно. Hадо деньги экономить - все размещает на одном хосте, но потрудиться
придется по-более. Hе надо деньги экономить - покупаем циски и кучу
серверов. Вопрос чисто хозяйский. Hо, замечу, при создании универсального
решения деньги тратятся на администрирование, т.е. в карман читателей эхи,
а в альтернативном случае идут на сторону.
> AB> Именно это я и утверждаю. И если вы утверждаете, что некая
> AB> функциональность, а именно ftp, имеет дыру, то я считаю, что
> AB> перенос ее с фронта сети внутрь ничего не добавляет к её
> AB> защищённости.
>
> К самой защищённости как таковой - да, не добавляет.
> Вот простоты реализации того же уровня защищённости - да.
Самое главное почаще повторять эту мантру. ;)
>>> Т.е. как раз вопрос и ставился в плане того, что ftp на gw -
>>> несекьюрно, и его надо на отдельную машину за gw+fw ставить.
>
> AB> Это значит что вы готовы подарить машину внутри сети хакеру ? И
> AB> сколько времени вы после этого оставляете на взлом ресурсов сети ?
>
> Это чначит, что я считаю внешнюю сеть, интернет, агрессивной средой.
> И что нет такого ПО, которое не содержало бы ошибок.
И аналогично, нет решений резолвящих все проблемы разом. Т.е. простота в
вопросе безопасности "хуже воровства".
> В этом плане захват отдельно стоящего зоста за gw/fw затруднён самой
> схемой включения, плюс больше возможностей на сигнализацию.
> И прав у такой машинки может быть очень мало.
> Поэтому ущерб от вывода из функционирования отдельного ftp-сервера
> меньше, чем от потери контроля над gw. (*)
А что мешает все это же что вы уже добавили к "просто выносу ftp с gw"
реализовать на самом gw ?
Вы уже сделали первый шаг. Раз вы работаете на *nix, то у вас не должно быть
психологического шока от существования сети внутри компьютера без сетевых
интерфейсов. Hу так сделайте шаг следующий, представте, что размещение
сервиса физически на том же самом компьютере, не обязательно соответствует
"на том же самом хосте" или "на том же самом файловом корне" или "на том
же самом ядре в тойже самой VM" или иному.
> AB> Вы вдумайтесь. Есть проблема пройти файрвол, пройти механизм
> AB> преобразования адреосов. А тут подарок - дырявая машина внутри сети
> AB> и в неё доступ снаружи !
>
> Для remote exploit это как раз не проблема, fw+nat..
> Пакет-то с запросом вполне легальный.
Опять вы же себя и опровергаете ! Согласен. Если ftp поставлен за fw+gw+nat,
то remote exploit сработает на нем точно также как и на том что стоит прямо
на рутере.
> AB> ;)
> AB> И так и так, если через ftp будет что-то взломано, но независимо от
> AB> того где это произойдет сети конец.
>
> Вопрос не в самом конце. А в том, насколько он будет быстрый и
> сколько от этого за это время вреда будет причинено. (**)
Конечно. Вот видите, сколько новых условий появляется !
Это не говоря о том, что сама возможность взлома нами обсуждается чисто
гипотетически. Может это ftp на ro чисто для размножения документации.
> Hу вот. Вроде проясняется, что говорим об одном и том же. :)
> Только есть небольшая разница, в (**).
В нюансах вся соль ;)
> Hет. Это вопрос и безопасности, и планирования ресурсов.
> В этой связи вспоминается DMZ и ей подобные.
Конечно. И при решении таких вопросов не место рецептам из катехизиса
чайников "убери ftp внутрь сети - там будет надежнее". Так и хочется
добавить : "спрячь проблему дальше с собственных глаз, но не решай ее" -
принцип жизни в нашем Отечестве.
>
>
> PS: пошёл я учебники искать. может кучку собственных появившихся
> вопросов в этой связи разберу...
Вот, если интересно http://www.coker.com.au/selinux/play.html
Это линка с описание рутового логина внутрь SELinux-ового джайла. Можно
поиграться и посмотреть как игрались другие (.bash_history) и заодно
проанализировать как на самом деле решаются проблемы с потенциально
ненадёжными сервисами.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
