|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 12 Jul 2004 15:10:24
To : Serge
Subject : Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)
--------------------------------------------------------------------------------
Serge wrote:
> Когда часы показывали Mon, 12 Jul 2004 08:06:32 +0000 (UTC)
> "Aleksey Barabanov", a.k.a. "AB",
> писал(а) о "Re: ftp на маршрутизаторе (Re: чудеса с маскарадингом)":
>
>>> (fw=firewall, gw=gateway)
>
>>> И в данном случае будет ли разница между вот такими случаями:
>
>>> 1) ftp в сети за fw-gw
>>> 2) ftp на fw, слушающий внутренний интерфейс, в chroot, доступ
>>> снаружи - NAT-ом
>
> AB> Это уже технология. А вот "Ftp на fw предоставляет дырку для взлома
> AB> самого fw и всей сети за ним расположенной." это исходная посылка
> AB> для создания упомянутой технологии.
>
> Дырка она и есть дырка. И её надо как-то закрывать, чтоб лишнего чего
> не случилось.
Hе торопитесь. Я готов вернуться к двум предложениям. И доказать что [2] это
то что надо, а [1] это лишь некоторая форма самообмана.
> AB> Давайте разбираться. Для этого сначала договоримся об исходных
> AB> утверждениях.
>
> AB> 1. Утверждаете ли вы, что fw это отдельный хост ?
>
> fw - это _функция_ хоста. Или, может, атрибут. Фильтрация пакетов.
Т.е. к fw может быть на любом хосте, а точнее на любом линуксовом ip-стеке.
> AB> 2. Утверждаете ли вы, что gw может быть без fw ?
>
> gw - это, точно так же функциональность. Маршрутизация пакетов.
> Только обычно к этому добавляется и фильтрация пакетов fw.
Т.е. "gw - это функциональность". Полностью согласен. Аналогично и ftp тоже
функциональность.
> AB> 3. Утверждаете ли вы, что ftp-хост не должен иметь fw.
>
> Эх. Помнится, подымалась тут как-то тема "так ли нужен сетевой
> экран" (fw). пришли, вроде бы, к выводу, что оно требуется только
> в местах сопряжения сетей (там, где gw), и в местах острой в fw
> необходимости на отдельных хостах.
Есть разница в утверждениях "оно требуется" и "не должен иметь". Я так
понимаю, что первое не утверждает второго. Тем более что раз вы согласились
что gw/ft это функциональности и fw это свойство ip-стека, то все
перечисленные функциональности могут сочетаться с упомянутым свойством
ip-стека.
> AB> Что из сказаного примем за априорную истину ? Если я что-то забыл,
> AB> дополните. Если что-то переврал, поправьте.
>
> Вспоминаем, с чего всё это (про ftp) началось...
> ---
> EBB> Зачем ftp на файрволе? Унести ftpd на другую машину, а это - в
FORWARD.
> AB> Опять же. Почему сразу то ? И чем ftp на файрволе менее защищен чем
ftp
> AB> внутри сети или напротив более ? Какая разница то ?
> ---
Именно это я и утверждаю. И если вы утверждаете, что некая функциональность,
а именно ftp, имеет дыру, то я считаю, что перенос ее с фронта сети внутрь
ничего не добавляет к её защищённости.
> Т.е. как раз вопрос и ставился в плане того, что ftp на gw -
> несекьюрно, и его надо на отдельную машину за gw+fw ставить.
Это значит что вы готовы подарить машину внутри сети хакеру ? И сколько
времени вы после этого оставляете на взлом ресурсов сети ?
Вы вдумайтесь. Есть проблема пройти файрвол, пройти механизм преобразования
адреосов. А тут подарок - дырявая машина внутри сети и в неё доступ
снаружи !
> ftp-сервер, стоящий что на gw, что в сети за gw одинаково защищён
> fw на этом самом gw.
> Проблема возникает в безопасности самой сети - если на уровне пакетов
> fw справляется одинаково надёжно, то на уровне приложения ftp
> безопасность определяется качеством реализации этого сервиса.
> И от этого, в случае установки ftp на gw, пострадать может
> не только отдельно взятый компьютер, а вся сеть целиком.
;)
И так и так, если через ftp будет что-то взломано, но независимо от того где
это произойдет сети конец.
> Хотя чего это я. :)
>
> Hу вот в этом плане, будет ли chroot+nat в случае с ftp-сервером
> на маршрутизаторе, при-bind-инном к внутреннему интерфейсу,
> эквивалентен отдельному компьютеру за gw+fw/nat.
Абсолютно. И точно также дырявый ftp будет там взломан. И точно также с него
можно атаковать все остальное.
> (переписывать другими словами у меня не получится)
Это от того, что вы подспудно зависите от объективности, а не пускаетесь в
безудержную фантазию.
>
> AB> Здесь главное выяснить зачем устанавливается fw и зачем ftp. По
> AB> аналогии, есть ли автомобили без тормозов (fw) и не слишком ли
> AB> рискуют те кто разгоняется за 40 км./ч (ftp).
>
> Hе совсем понял аналогию..
Оч. просто.
Файрвол фильтруею пакеты, а ftp это функциональность. Если ftp нужен, то вне
зависимости от того где его устанавливать надо позаботится о его
надежности. Взлом ftp вне зависимости от того где он расположен позволит
сразу перейти к задаче получения привилегированного аккаунта на локалхосте
ftp. И далее вне зависимости от того где это случиться, этот хост попадет
под управление злоумышленника. После чего вся сеть под угрозой.
Следите за логикой
1.дырявый ftp
2.локальный рут.
3.атака сети.
Где здесь упомянут файрвол ? При чем он тут ? Как с помощью файрвола
защитить дырявый ftp ?
Поэтому fw нужен сам по себе. А если в fw сделан вход для ftp, то уже не
важно где расположен ftp, о его защищенности надо позаботится особо.
Теперь второй вопрос.
Есть gw. Защищённый. Постоянно наблюдаемый админом.
Решаем куда поставить ftp.
1.Hа ещё один хост, удвоив тем самым оборудование и область внимания админа.
2.Поставить на gw, съэкономив на железе и использовав функционально жёстко
настроенную среду gw.
Это не вопрос безопасности. Здесь не идёт речь о выборе ftp или о том как
его ограничить (chroot/SELinux или что-то ещё). Это лишь вопрос
планирования ресурсов. И с т.з. планирования ресурсов мне второй путь, а
именно установка на gw, представляется более выгодным ходом.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
