Maskarada a jeji viditelnost
Petr Tesarik
tesarik na petr.lupa.cz
Pátek Červen 18 12:53:56 CEST 1999
Dne Thu, Jun 17, 1999 at 07:04:35PM +0200, David Rohleder napsal:
> Mikulas Patocka <mikulas na artax.karlin.mff.cuni.cz> writes:
> > Dalsi moznost je, ze spravce vytvori pocitac s adresou 10.0.0.1
> > a pokusi se o spojeni na podezrely pocitac. Pokud je
> > packet zahozen nebo se vrati zamasqueradovany, pozna to.
>
> Podle mne takový paket neprochází forwardovacími pravidly.
> Navíc nemůže odpovědět, protože odpověď pošle na opačnou stranu.
>
> Nevím, co se rozumí tím, že paket zahodí. Tak by se přece měl chovat
> každý počítač, na kterém taková adresa není.
>
> Správná router blokuje IP, které přicházejí z jiné strany než je
> možné.
Ee. Ne. Pokud ten paket umí routovat a nemá nastavený firewall, tak ho
prostě správně nasměruje. Ale mám dojem, že maškaráda se dá nastavit,
aby maškarádovala jenom pakety přijaté přes určitý interfejs a ostatní
interfejsy jenom routovala...
> Správný postup by byl podle mne následující: nechat si svou IP adresu
> a jako gw pro 10.0.0.0/8 dosadit daný počítač. Pak zkusit projít celý
> tento prostor a jestli odpoví, tak je váš. Nevím ovšem, jestli odpoví
> svou vnější nebo vnitřní adresou (procházejí forwardovacími pravidly
> nebo ne? - podle mne nesmí). Obdobně pro ostatní
> adresy.
>
> > Obejiti: nepouzivat 10.x.x.x ani 192.168.x.x, ale nejake
> > jine vymyslene adresy. Projet 2^32 adres neni snadne.
>
> Jo. Dejte si adresu treba ze site 147.32.0.0 a třeba se budete divit,
> proč se nedostanete na www.cvut.cz. Privátní adresy jsou od toho, že
> jsou privátní. Ovšem vhodnou volbou IP by to šlo. Většina .mil v
> současnosti není připojena do Internetu, přesto mají alokované
> adresy.
Hmmm, nemám rád řešení proti příslušným RFC. Vždycky to do budoucna
zavání nějakým problémem... :(
> > Dalsi moznost je finger, ident ci podobne sluzby.
>
> Tak z tohoto opravdu nevím jak. Nehledě na to, že čím méně služeb tím
> lépe. A finger patří ty služby, bez kterých se obejdete.
>
> Další možnost je přes SNMP. Pokud ho ovšem ten dotyčný má spuštěný (a
> s jednoduchou komunitou) - to by ovšem byl pak uplný *****.
Finger taky nevím, ale protokol IDENT obsahuje některé "design flaws",
díky kterým je teoreticky možné odhalit např. spojení z některého
maškarádovaného počítače na squida, na DNS, apod. Ve skutečnosti by to
asi bylo dost obtížné, ne-li nerealizovatelné.
bye,
--
Petr Tesarik
Tel: +420 602 575294 http://www.lupa.cz/
Další informace o konferenci Linux