OT:SYN FLOODING

Michal.Vymazal na deltax.cz Michal.Vymazal na deltax.cz
Pátek Prosinec 8 08:17:23 CET 2000


Pravda
Zapomnel jsem asi uvest to hlavni. Totiz, ze kazdy system musi mit spravce,
ktery mu rozumi. Spravce, ktery se alespon jednou denne nepodiva do logu,
neprecte si nejaky ten clanek nebo manual a tezce si vzpomina, kde ma
server je jeste horsi nez ta derava proxy.

Ale firewall A, DMZ a firewall B je celkem bezne pouzivany model.
Casto byvaji i skenery ve vnitrni siti, ktere hlidaji urcite typy paketu.
Ovsem s javatunnelem to budou mit tezke. Dalo mi hodne prace chytit tohle
spojeni (napr. BrownOrifice) do paketoveho filtru. Sycak si oteviral
spojeni se zdrojovou adresou meho loopbacku. Zase jsem se necemu novemu
priucil:-)

Michal Vymazal



On Thu, Dec 07, 2000 at 03:19:31PM +0100, Michal.Vymazal na deltax.cz wrote:
> A mam hned par navrhu:
> 1) Jiny SUBJ, aby to pak bylo mozne najit v archivu. Nechavam na diskusi.
> 2) Navrhuji dat si modelovou topologii tak, ze budeme mit pripojeni do
> internetu skrze dva firewally za sebou (a mezi nimi treba
demilitarizovanou
> zonu).
> 3) Navrhuji, aby oba dva firewally (namet do diskuse) logovaly vsechny
tcp
> pakety se SYN flagem.
> 4) Do Internetu jde firewall A, pak je DMZ, pak je firewall B a za nim
> Intranet (nebo lokalni sit, interni sit)).
> 5) Pocitace v interni siti neposkytuji zadne sluzby ven.
> Dalsi body (stejne jako upravy a zmeny v bodech 1-5) davam hned do
diskuze.

Jeste jenom takova mala technicka ...

Samozrejme cim vice firewallu a cim vice proxy-serveru postavite
hackerovi do cesty, tim vice prace mu pridelavate (bude se tim muset
prokousavat postupne). Nehlede na to, ze spatna proxy je horsi nez zadna
proxy (pokud lze proxy server exploitnout, je lepsi ho tam nemit ...).

Kazdopadne pro "bezneho" hackera jsou nejzajimavejsi prave ty vystavene
servery (routery, vnejsi firewally, web/mail/ftpservery ...), Intranet
si strcte treba za klobouk ;-)






Další informace o konferenci Linux