ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Viktor                               2:5020/400     24 Aug 2005  18:58:05
 To : Eugene Grosbein
 Subject : Re: Passive FTP
 -------------------------------------------------------------------------------- 
 

 Hi, Eugene!
 
 Eugene Grosbein пишет:
 
 > 24 авг 2005, среда, в 16:31 KRAST, Viktor написал(а):
 > 
 >  >>>  Hу и зачем там keep state? Типа круто?
 >  V>> Hа случай взлома из мира машины находящейся DMZ, для ограничения
 >  V>> возможности проникнуть из DMZ в локальную сеть предприятия. Ибо
 >  V>> пропускаться внутрь локальной сети будут только пакеты с keep state,
 >  V>> инициированными из локальной сети.
 >  >> Hе, а keep state-то зачем?
 >  V> Я постараюсь подробнее описать мое понимание того, для чего может быть
 >  V> полезен keep state, а вы расскажите как, в свою очередь, сами видите
 >  V> правильное построение фильтра в этих услових.
 >  V> WORLD <-> PF_1 <-> DMZ <-> PF_2 <-> LAN
 >  V> Выше я писал про PF_2, а имел в виду (вкратце) следующее:
 >  V> block all
 >  V> pass in on $int_if from $int_if:network to $dmz keep state
 >  V> (Hе указаны допустимые для обращения порты в DMZ)
 >  V> Ответные пакеты из DMZ для LAN, а так-же пакеты из LAN для DMZ, будут
 >  V> проверяться на принадлежность уже установленной TCP сессии, и в случае
 >  V> обнаружения принадлежности будут пропускаться без дальнейшей проверки
 >  V> оставшимися правилами фильтра. Фильтр будет следить за ACK/SEQ числами в
 >  V> загoловках пакетов и будет пропускать только коppектные пакеты.
 > 
 > Как уже сказано, достаточно рубить tcp setup, идушие из DMZ в LAN,
 > без всякого слежения за чем-либо.
 
 1. При keep state фильтр будет следить за правильностью номеров пакетов
 из последовательности и уничтожать пакеты с некорректными номервами.
 Полезно при попытках спуфинга.
 2. Для относительно больших наборов правил фильтра повышается
 производительность (попадающие в keep state пакеты не проверяется больше
 _никакими_ правилами)
 3. Можно воспользоваться modulate state на случай "возникновения" в
 локальной сети систем использующих слабые генераторы псевдослучайных
 чисел для ISN (initial sequence numbers).
 -- 
 WBR, Viktor
 
 --- ifmail v.2.15dev5.3
  * Origin: AAA Intersvyaz (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Re: Passive FTP   Viktor   24 Aug 2005 18:58:05   Re: Passive FTP   Andrew Filonov   24 Aug 2005 20:21:23   Re: Passive FTP   Mykola Dzham   25 Aug 2005 01:26:17   Re: Passive FTP   Andrew Filonov   25 Aug 2005 01:43:44   Passive FTP   Slawa Olhovchenkov   25 Aug 2005 11:58:52   Re: Passive FTP   Andrew Filonov   25 Aug 2005 12:15:07   Passive FTP   Slawa Olhovchenkov   25 Aug 2005 12:20:48   Re: Passive FTP   Andrew Filonov   25 Aug 2005 12:38:30   Passive FTP   Slawa Olhovchenkov   25 Aug 2005 13:31:16   Re: Passive FTP   Andrew Filonov   25 Aug 2005 14:06:34   Passive FTP   Slawa Olhovchenkov   25 Aug 2005 14:35:40   Re: Passive FTP   Andrew Filonov   25 Aug 2005 16:27:47