OT:SYN FLOODING

Martin Mačok martin.macok na underground.cz
Čtvrtek Prosinec 7 16:29:37 CET 2000 

On Thu, Dec 07, 2000 at 03:19:31PM +0100, Michal.Vymazal na deltax.cz wrote:
> 1) Jiny SUBJ, aby to pak bylo mozne najit v archivu. Nechavam na diskusi.

Navrhuju "H4x0r1n6" ;-)

> 2) Navrhuji dat si modelovou topologii tak, ze budeme mit pripojeni do
> internetu skrze dva firewally za sebou (a mezi nimi treba demilitarizovanou
> zonu).
> 3) Navrhuji, aby oba dva firewally (namet do diskuse) logovaly vsechny tcp
> pakety se SYN flagem.
> 4) Do Internetu jde firewall A, pak je DMZ, pak je firewall B a za nim
> Intranet (nebo lokalni sit, interni sit)).
> 5) Pocitace v interni siti neposkytuji zadne sluzby ven.

Takze pocitace se nemohou primo zevnitr pripojit ven, ale spojeni je
zprostredkovano jen prostrednictvim aplikacni proxy? (ad (2))

Tim se muj nedavno popsany priklad stizi o to, ze to spojeni z trojskeho
kone ven na druhou pulku trojskeho kone protuneluji skrze proxy-ovany
protokol (napr. pouziji neco jako http-tunnel, skrz ktery povedu budu
zpet tunnelovat TCP spojeni).

ad 3) Jedinny SYN flag ohledne teto komunikace bude z "normalni" http
seance zevnitr ven, kterou vyvola ten Trojsky kun.

ad 4) jak se lisi od bodu 2) ?

ad 5) ... do te doby, nez se na nich spusti nejaky trojsky kun, anebo si
uzivatel pusti ICQ od Mirabillise apod. ;-)

> Dalsi body (stejne jako upravy a zmeny v bodech 1-5) davam hned do diskuze.

6) Na stanice se nainstaluje jen "duveryhodny" software (o ktery se bude
admin dobre starat a ktery bude aktualne zaplatovat) a nejak(tm) se
zajisti, aby si uzivatele nemohli pustit nejaky "svuj" software.

> Ja si to nemyslim. Podle mych zkusenosti lide, kteri si radi hraji se
> siti, delaji ruzne pokusy a testy typu portscanning, sniffing a tak
> pouzivaji prave Linux. Proc to asi delaji ;-) Tim samozrejme nerikam, ze
> to z jinych OS nejde.

K tomu bych dodal jen to, ze ona casto vytykana "nebezpecnost Linuxu"
(tim myslim, jako ze Linux neni bezpecny) je casto v tom, ze Linux umi
nainstalovat kazdej trouba. Pokud uz nekdo umi nainstalovat treba
OpenBSD, tak uz nejspise ten system umi i zabezpecit. Mandrake
nainstaluje i moje babicka ...

Preji hezky den

-- 
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 > 
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///

Další informace o konferenci Linux