информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыАтака на InternetЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Согласен. Но немного паранои никогда не помешает :) 14.10.05 13:22  Число просмотров: 3033
Автор: alx_work Статус: Незарегистрированный пользователь
<"чистая" ссылка>
<networking>
ipfw и флаг established 14.10.05 09:24  
Автор: alx_work Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Извиняйте, если такая тема уже обсуждалась. Но вопрос для меня остается открытым.
Во многих мануалах указывается на правило "add pass tcp from any to any established", мол установленные соединения фильтровать смысла нет, поэтому и пропускаем их не задумываясь. Однако, насколько я понимаю, ipfw определяет в качестве establised пакеты с установленными SYN & ACK.
Дак вот вопрос, не может ли служить подобное правило, дыркой в файрволе, ведь что мешает злоумышленнику сформировать пакет вручную... Вопрос тем актуальней, что использование такого правила все-таки действительно оптимизирует определение правил.
Если задача файрвола не состоит в том, чтобы защищенные... 16.11.05 11:36  
Автор: Kuzmich Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Извиняйте, если такая тема уже обсуждалась. Но вопрос для
> меня остается открытым.
> Во многих мануалах указывается на правило "add pass tcp
> from any to any established", мол установленные соединения
> фильтровать смысла нет, поэтому и пропускаем их не
> задумываясь. Однако, насколько я понимаю, ipfw определяет в
> качестве establised пакеты с установленными SYN & ACK.
> Дак вот вопрос, не может ли служить подобное правило,
> дыркой в файрволе, ведь что мешает злоумышленнику
> сформировать пакет вручную... Вопрос тем актуальней, что
> использование такого правила все-таки действительно
> оптимизирует определение правил.


Если задача файрвола не состоит в том, чтобы защищенные файрволом клиенты не могли куда-то добраться (например, до ICQ), то established практически безопасен... и быстр!

В случае, если стоит allow tcp from any to any established юзер за файрволом (или ТРОЯН!!!), имея сервер еще где-то в интернете, может установить vpn-соединение с этм сервером, используя в качестве транспорта поддельные tcp-пакеты.
немного не так 14.10.05 14:09  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> . Однако, насколько я понимаю, ipfw определяет в
> качестве establised пакеты с установленными SYN & ACK.

нет. неправильно в мане сказано:
established
Matches TCP packets that have the RST or ACK bits set.

> Дак вот вопрос, не может ли служить подобное правило,
> дыркой в файрволе, ведь что мешает злоумышленнику
> сформировать пакет вручную... Вопрос тем актуальней, что
> использование такого правила все-таки действительно
> оптимизирует определение правил.

сейчас вроде боятся нечего. дело в том что любой порядочный TCP/IP стек не воспримет такой пакет как попытку открыть соединение и просто тихо дропнет его. Хотя можно поспорить о самой стратегии безопасности когда мы зависим от корректности реализации TCP/IP на клиентских машинах. но я не буду спорить :) нунах - работать надо :)
Послать-то можно, но кроме полей SYN & ACK нужно выставить корректный sequence number, который знают только участники обмена. 14.10.05 11:23  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Re: 14.10.05 11:49  
Автор: alx_work Статус: Незарегистрированный пользователь
Отредактировано 14.10.05 12:01  Количество правок: 1
<"чистая" ссылка>
гм, томская атака (с единственной оговоркой, там IPX)?
или более известный случай: Кевин Митник?
Уже давно её очень трудно реализовать, поскольку юзают более-менее навороченные ГПСЧ для генерации последовательности. 14.10.05 13:16  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Согласен. Но немного паранои никогда не помешает :) 14.10.05 13:22  
Автор: alx_work Статус: Незарегистрированный пользователь
<"чистая" ссылка>
да нет по идее не должно... 14.10.05 09:31  
Автор: Garrik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach