|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5020/400 02 Aug 2007 22:26:12
To : Vadim Guchenko
Subject : Re: ipfw and keep-state
--------------------------------------------------------------------------------
Hi Vadim Guchenko!
On Sat, 28 Jul 2007 19:26:38 +0000 (UTC); Vadim Guchenko wrote about 'Re: ipfw
and keep-state':
VG>>> Hо разве нат в этом случае не пропустит пакет наружу и не примет
VG>>> для него ответ? Разве он
VG>> Причем тут нат, когда речь о сети с реальными адресами?
VG> Ты в последней фразе написал, что для случая с натом такой вариант не
VG> реален.
Это было про established - не пропустит снаружи внутрь пакет, для
которого нет записи в таблице.
VG>>> смотрит какие там TCP-флаги выставлены на пакете и на этом
VG>>> основании транслирует его или отбрасывает?
VG>> Разумеется, смотрит - man natd /-deny_incoming
VG> Причем тут deny_incoming? Я говорю о случае, когда TCP-пакет изнутри сети
VG> идет наружу. Hат должен создать запись в таблице трансляции и пропустить
VG> пакет. И соответственно принять ответный пакет. А смотрит ли он при
VG> создании записи, что TCP пакет на самом деле не первый, а второй в
VG> рукопожатии - вопрос спорный.
Хм, судя по исходникам libalias, оно таки пропустит, только лишь
с меньшим таймаутом. В принципе, это решается патчем из двух строк, хотя
надо все режимы рассмотреть. С другой стороны - не ната это дело,
файрволить...
VG>>> То же самое наверное относится и к keep-state. С одной стороны в
VG>>> sysctl есть различные переменные вида dyn_ack_lifetime,
VG>>> dyn_syn_lifetime и т.д, с другой стороны эти переменные могут
VG>>> влиять только на время жизни динамического правила ipfw, но не на
VG>>> условие его создания. Точно насчет этого я не знаю. В манах не
VG>>> написано, а исходники я не смотрел.
VG>> Учитывает, учитывает. Даже номера последовательностей TCP учитывает.
VG>> Правда, состояние все равно будет создано на
VG>> net.inet.ip.fw.dyn_rst_lifetime секунд (по умолчанию одна).
VG> А если будет создано, за эту секунду вполне можно успеть начать обмен
VG> пакетами с ACK и состояние будет поддерживаться.
Hет, из rst оно никуда не перейдет - если обмен прервется на более чем
секунду, то правило исчезнет.
VG>>> Hо инсайдер с таким же успехом может послать пакет на установку
VG>>> соединения наружу на адрес и порт атакующего якобы с адреса и порта
VG>>> атакуемого, чтобы создать динамическое правило в ipfw. С другой
VG>>> стороны, если есть инсайдер, зачем такие сложности с файрволом? Он
VG>>> и так всю инфу сам может посмотреть и слить. Или выступить в
VG>>> качестве прокси для удаленного атакующего.
VG>> Об этом я и говорил. Инсайдер может принять снаружи от атакующего
VG>> первый пакет без SYN и т.п., как-либо модифицировав свой tcp-стек, к
VG>> примеру - и оно пройдет через established.
VG> Зачем такие сложности? Инсайдер может сам установить с атакующим исходящее
VG> TCP-соединение, которое пройдет и через нат, и через файрвол с keep-state.
VG> И established тут вообще роли не играет.
Hу, это от условий зависит. Может, админ разрешил исходящие только на
определенные адреса, а о входящих не побеспокоился - тогда через
established можно попасть внутрь с любого адреса.
--
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
[Moderator of RU.ANTI-ECOLOGY][FreeBSD][http://antigreen.org][LJ:/nuclight]
--- slrn/0.9.8.1 on FreeBSD 4.11/i386
* Origin: Nuclear Lightning @ Tomsk, TPU AVTF Hostel (2:5020/400@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
