firewall + masq - otazocky

Petr Novotny Petr.Novotny na antek.cz
Čtvrtek Květen 27 15:31:30 CEST 1999


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> Nasledujuce dve pasaze su z IP-Masquerading.
>   Breaking the security of a well set-up masquerading system
>   should be considerably more difficult than breaking a good packet
>   filter based firewall (assuming there are no bugs in either).

Protoze u packet filteru "staci" ten filter presvedcit, ze ma vas
packet forwardnout, zatimto maskaradu je treba presvedcit, ze ho
ma poslat na jinou adresu (puvodni cilova adresa je vnejsi IP
routeru, kyzena je (privatni) IP na vnitrni siti).

Ovsem kdyz se nekdo na tom stroji dostane na roota, tak je fuk,
jestli to byl packet filter nebo maskara. Uvedene poznamky se
tykaji IP vrstvy.

> A co znamena toto:
>        If your private network contains any vital information,
>        think carefully before using IP Masquerade.  This may be a
>        GATEWAY for you to get to the Internet, and vice versa for
>        someone on the other side of the world to get into your net­
>        work.
> Ako zle musi byt masquerading nastaveny, aby to ohrozilo vnutornu siet?

To neni nastaveni maskaradovadla, ale treba zabezpeceni ruznych
internet exploderu (nechcizadnou firmu obvinovat); co vy vite, po
jakem javaScriptu ten vas stroj posle obsah firemni databaze ven
do sveta?

> Napr. DNS. Len nahodou som sa dozvedel, ze
> "niekedy" ide namiesto UDP cez TCP :-O.

TO kdyz je odpoved tak velka, ze se do UDP paketu nevejde.

Ale vam to muze byt fuk, pokud relaci otevira stanice zevnitr.
(Pokud se nekdo pta z venku, tak by na tom maskaradovadle mela
bezet aspon nejaka proxy, ale to je jen muj nazor.) Samozrejme
pokud se otevira zvenci...

> Vsimol som si, ze na maskaradovanie niektorych protokolov su v kerneli
> moduly. Loaduju sa same, alebo to treba rucne?

Rucne. Ja mam ve startovacim skriptu neco jako
for i in /lib/modules/`uname -r`/ipv4/ip_masq_*; do modprobe $i done

> Ako napr. funguje maskarada
> ftp? Pokial viem, tak datovy kanal sa moze otvarat aj od servera. Ako
> potom dokaze maskarada rozoznat ku ktoremu spojeniu to patri?

Parsuje protokol. Klient rika (textove) "otevrel jsem ti port, konektni
se na nej". Kdyz to maskarada zjisti, zaridi se podle toho.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBN01JMVMwP8g7qbw/EQI5rwCgiLPQG/kuvc+yeC4ovgr8N2iLjwoAoJ6e
z7Zr+ZeSVqHCxPJUnYYN0pWG
=MWOl
-----END PGP SIGNATURE-----


Další informace o konferenci Linux