|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrew Filonov 2:5020/400 24 Aug 2005 20:21:23
To : Viktor
Subject : Re: Passive FTP
--------------------------------------------------------------------------------
>>>>> "V" == Viktor writes:
V> 1. При keep state фильтр будет следить за правильностью номеров
V> пакетов из последовательности и уничтожать пакеты с некорректными
V> номервами. Полезно при попытках спуфинга.
Практически бесполезно. Либо DMZ секурна, и тогда кривому пакету
неоткуда взяться, либо там дыра, и злодею совершенно никто не мешает
сформировать правильный пакет, а то и вовсе контролировать сервис.
Хотя иллюзию безопасности конечно создает ;)
V> 2. Для относительно больших наборов правил фильтра повышается
V> производительность (попадающие в keep state пакеты не проверяется
V> больше _никакими_ правилами)
Крайне спорно. В большинстве случаев попросту неверно.
V> 3. Можно воспользоваться modulate state на случай "возникновения"
V> в локальной сети систем использующих слабые генераторы
V> псевдослучайных чисел для ISN (initial sequence numbers).
А смысл?
--
Andrew E. Filonov
When the need arises, any tool or object closest to you
becomes a hammer.
--- ifmail v.2.15dev5.3
* Origin: Sviaz-Servis-Internet ltd. (Sovam-Teleport) (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Passive FTP 