Послать-то можно, но кроме полей SYN & ACK нужно выставить корректный sequence number, который знают только участники обмена.14.10.05 11:23 Число просмотров: 3489 Автор: HandleX <Александр М.> Статус: The Elderman
Извиняйте, если такая тема уже обсуждалась. Но вопрос для меня остается открытым.
Во многих мануалах указывается на правило "add pass tcp from any to any established", мол установленные соединения фильтровать смысла нет, поэтому и пропускаем их не задумываясь. Однако, насколько я понимаю, ipfw определяет в качестве establised пакеты с установленными SYN & ACK.
Дак вот вопрос, не может ли служить подобное правило, дыркой в файрволе, ведь что мешает злоумышленнику сформировать пакет вручную... Вопрос тем актуальней, что использование такого правила все-таки действительно оптимизирует определение правил.
Если задача файрвола не состоит в том, чтобы защищенные...16.11.05 11:36 Автор: Kuzmich Статус: Незарегистрированный пользователь
> Извиняйте, если такая тема уже обсуждалась. Но вопрос для > меня остается открытым. > Во многих мануалах указывается на правило "add pass tcp > from any to any established", мол установленные соединения > фильтровать смысла нет, поэтому и пропускаем их не > задумываясь. Однако, насколько я понимаю, ipfw определяет в > качестве establised пакеты с установленными SYN & ACK. > Дак вот вопрос, не может ли служить подобное правило, > дыркой в файрволе, ведь что мешает злоумышленнику > сформировать пакет вручную... Вопрос тем актуальней, что > использование такого правила все-таки действительно > оптимизирует определение правил.
Если задача файрвола не состоит в том, чтобы защищенные файрволом клиенты не могли куда-то добраться (например, до ICQ), то established практически безопасен... и быстр!
В случае, если стоит allow tcp from any to any established юзер за файрволом (или ТРОЯН!!!), имея сервер еще где-то в интернете, может установить vpn-соединение с этм сервером, используя в качестве транспорта поддельные tcp-пакеты.
немного не так14.10.05 14:09 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> . Однако, насколько я понимаю, ipfw определяет в > качестве establised пакеты с установленными SYN & ACK.
нет. неправильно в мане сказано:
established
Matches TCP packets that have the RST or ACK bits set.
> Дак вот вопрос, не может ли служить подобное правило, > дыркой в файрволе, ведь что мешает злоумышленнику > сформировать пакет вручную... Вопрос тем актуальней, что > использование такого правила все-таки действительно > оптимизирует определение правил.
сейчас вроде боятся нечего. дело в том что любой порядочный TCP/IP стек не воспримет такой пакет как попытку открыть соединение и просто тихо дропнет его. Хотя можно поспорить о самой стратегии безопасности когда мы зависим от корректности реализации TCP/IP на клиентских машинах. но я не буду спорить :) нунах - работать надо :)
Послать-то можно, но кроме полей SYN & ACK нужно выставить корректный sequence number, который знают только участники обмена.14.10.05 11:23 Автор: HandleX <Александр М.> Статус: The Elderman
гм, томская атака (с единственной оговоркой, там IPX)?
или более известный случай: Кевин Митник?
Уже давно её очень трудно реализовать, поскольку юзают более-менее навороченные ГПСЧ для генерации последовательности.14.10.05 13:16 Автор: HandleX <Александр М.> Статус: The Elderman