|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Gleb Smirnoff 2:5020/400 24 Aug 2005 16:43:55
To : Viktor
Subject : Re: Passive FTP
--------------------------------------------------------------------------------
> <dehm1i$jlf$1@pa.aaanet.ru>
From: Gleb Smirnoff <glebius@cell.sick.ru>
Viktor <sibvaleo@aaanet.ru> wrote:
>> V> Разве вы не обсуждаете еще и возможности stateful firewalling'а
>> V> существующих пакетных фильтров? Я что-то так и не понял из вашей
>> V> дискуссии какие именно возможности есть и как они реализованы.
>>
>> В данном потреде обсуждается тот факт, что у stateful firewall есть
>> и недостатки.
V> Hу, хорошо. Я могу попросить вас вкратце коснуться того как по вашему
V> можно и нужно реализовывать грамотный stateful firewall во FreeBSD,
V> учитывающий возможность DoS и способный свести к минимуму его
V> последствия?
Так вы уже сами это рассказали :) Минимизировать возможность раздувать
state таблицу злоумышленниками - пользоваться stateless antispoofing
фильтрами, делать per-host лимиты.
К сожалению это не приемлемо, когда мы защищаем с помощью stateful firewall
не локальную сеть, а вебсайт. Тогда в распоряжении атакующего есть
все 4 миллиарда IP адресов, что бы спуфить. Что делать в таком случае?
Если повезёт и его SYN пакеты будут иметь какую-то особенность, то
можно закатать в pf.os их сигнатуру и дропать их первым stateless
правилом. Вполне может быть, что при этом мы потеряем и часть валидных
посетителей. Hужно выбирать меньшее зло в таком случае.
--
Totus tuus, Glebius.
GLEBIUS-RIPN GLEB-RIPE
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
