|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5020/400 28 Jul 2007 21:20:06
To : Vadim Guchenko
Subject : Re: ipfw and keep-state
--------------------------------------------------------------------------------
Hi Vadim Guchenko!
On Fri, 27 Jul 2007 21:05:07 +0000 (UTC); Vadim Guchenko wrote about 'Re: ipfw
and keep-state':
VG> Ты имеешь в виду, что кто-то внутри защищенной сети посылает на соседнюю
VG> машину с реальным адресом запрос на установку соединения на TCP порт,
VG> который открыт только для внутренней сети и закрыт из интернета, причем в
VG> этом пакете в качестве src_ip и src_port указаны адрес и порт удаленного
VG> атакующего? Поскольку обе машины находятся в одном ethernet-сегменте и их
VG> трафик не проходит через L3 устройство, антиспуфинг сделать некому. Тогда
VG> атакуемый хост, не имея файрвола, честно отошлет этому удаленному
VG> атакующему подтверждение на установку соединения и файрвол на шлюзе это
VG> пропустит, если в нем есть allow tcp from any to any established.
VG> Атакующему нужно лишь быть готовым принять второй пакет и подтвердить его.
VG> Согласен.
Зачем так сложно? хотя можно и так соединения с другими машинами
организовывать, да. См. ниже про инсайдера.
VG> Hо разве нат в
VG> этом случае не пропустит пакет наружу и не примет для него ответ? Разве он
Причем тут нат, когда речь о сети с реальными адресами?
VG> смотрит какие там TCP-флаги выставлены на пакете и на этом основании
VG> транслирует его или отбрасывает?
Разумеется, смотрит - man natd /-deny_incoming
VG> То же самое наверное относится и к
VG> keep-state. С одной стороны в sysctl есть различные переменные вида
VG> dyn_ack_lifetime, dyn_syn_lifetime и т.д, с другой стороны эти переменные
VG> могут влиять только на время жизни динамического правила ipfw, но не на
VG> условие его создания. Точно насчет этого я не знаю. В манах не написано, а
VG> исходники я не смотрел.
Учитывает, учитывает. Даже номера последовательностей TCP учитывает.
Правда, состояние все равно будет создано на net.inet.ip.fw.dyn_rst_lifetime
секунд (по умолчанию одна).
VG> Единственное, что приходит в голову: сделать на
VG> шлюзе не просто allow tcp from any to any keep-state, а с флагом setup.
Так обычно и делают.
VG> Hо инсайдер с таким же успехом может послать пакет на установку соединения
VG> наружу на адрес и порт атакующего якобы с адреса и порта атакуемого, чтобы
VG> создать динамическое правило в ipfw. С другой стороны, если есть инсайдер,
VG> зачем такие сложности с файрволом? Он и так всю инфу сам может посмотреть и
VG> слить. Или выступить в качестве прокси для удаленного атакующего.
Об этом я и говорил. Инсайдер может принять снаружи от атакующего первый пакет
без SYN и т.п., как-либо модифицировав свой tcp-стек, к примеру - и оно
пройдет через established.
--
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
[Moderator of RU.ANTI-ECOLOGY][FreeBSD][http://antigreen.org][LJ:/nuclight]
--- slrn/0.9.8.1 on FreeBSD 4.11/i386
* Origin: Nuclear Lightning @ Tomsk, TPU AVTF Hostel (2:5020/400@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
