Frozen Fido : RU.UNIX.BSD : Re: паранойя

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Artem Chuprina                       2:5020/371.32  14 Aug 2001  16:40:21
 To : Igor Skvortsov
 Subject : Re: паранойя
 --------------------------------------------------------------------------------

 IS> Есть сервер на эхотаге, выполняющий роль шлюза в инет. Hаружу сервисов не
 IS> предоставляем , поэтому deny all from any to any via xl0 setup.(xl0
 IS> -внешний интерфейс). Снаружи разрешено только прохождение tcp пакетов с
 IS> 80,443,110,25,119 и еще кое-каких портов. Остальное deny all from any to
 IS> any in via xl0. Однако мой напарник говорит , что у меня паранойя и
 IS> требует разрешить прохождение пакетов в локалку с любого порта,
 IS> аргументируя тем, что установить TCP соединение с компьютерами локалки
 IS> снаружи невозможно, а без установленного соединения TCP пакеты угрозы для
 IS> безопасности сети не представляют. Это так?
 
 Вообще говоря, нет - баги в реализации TCP стеков бывают. Hо в основном да, не
 представляют. Другое дело, что это смотря откуда надо пропускать. Так вот
 сходу заметно, что ты перекрыл изрядную часть русских апачей (перекодировка, в
 том числе авторедирект, по портам), внешний IMAP (что само по себе несекьюрно,
 но по SSL - вполне) и POP3/SMTP over SSL. Hу и FTP заодно. С FTP есть еще одна
 засада - в классической схеме для передачи данных сервер устанавливает
 соединение с клиентом...
 
 IS> Что же касается того, что
 IS> всякая вирусня изнутри может устанавливать соединения по левым портам с
 IS> кем-нибудь снаружи, так эта же вирусня может заливать данные от нас
 IS> куда-нибудь и на 80-ый порт.
 
 Или на 25-й, что чаще... Стандартным портом удобнее пользоваться.
 
 IS> Таким образом, запрещение прохождения TCP
 IS> пакетов с "левых" портов на "левые" порты через firewall ограничивает
 IS> только пользователей локалки, никак не влияя на безопасность сети в целом.
 IS> Right?
 
 Практически. Более того, при наличии включенного javascript не спасает даже
 глухой файрвол с HTTP proxy.
 
 Мораль. Лечить паранойю админу, разумеется, ни в коем случае нельзя, но надо
 холить и лелеять, дабы она правильно болела.
 
 -- 
 Artem Chuprina <ran@ran.pp.ru>
 FIDO: 2:5020/371.32
 --- slrn/0.9.7.0 (Linux)
  * Origin: AKA с подствольным плюсомётом (2:5020/371.32)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
паранойя	Igor Skvortsov	09 Aug 2001 00:34:00
паранойя	Stas Degteff	12 Aug 2001 23:44:52
паранойя	Pavel Levshin	13 Aug 2001 01:35:44
Re: паранойя	Artem Chuprina	14 Aug 2001 16:40:21

Архивное /ru.unix.bsd/726119e1131a0.html, оценка 2 из 5, голосов 10