|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrew Filonov 2:5020/400 25 Aug 2005 01:43:44
To : Mykola Dzham
Subject : Re: Passive FTP
--------------------------------------------------------------------------------
>>>>> "MD" == Mykola Dzham writes:
V> 1. При keep state фильтр будет следить за правильностью номеров
V> пакетов из последовательности и уничтожать пакеты с некорректными
V> номервами. Полезно при попытках спуфинга.
>> Практически бесполезно. Либо DMZ секурна, и тогда кривому пакету
>> неоткуда взяться, либо там дыра, и злодею совершенно никто не
>> мешает сформировать правильный пакет, а то и вовсе контролировать
>> сервис. Хотя иллюзию безопасности конечно создает ;)
MD> Хм, а зачем тогда вообще DMZ и фильтр между ней и локалкой если
MD> DMZ у нас секурна и варианта её взлома мы не рассматриваем?
Вообще-то рассматриваем. В двух вариантах - 1) stateful 2) stateless
В обоих случаях входящие из локалки доступны только разрешенные
сервисы. Кривой пакет будет отброшен в любом случае. Правильный пакет
будет пропущен опять же в любом случае.
Чего-то существенное меняет только IDS.
--
Andrew E. Filonov
Quit while your still behind.
--- ifmail v.2.15dev5.3
* Origin: Sviaz-Servis-Internet ltd. (Sovam-Teleport) (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
