OT:SYN FLOODING

Martin Mačok martin.macok na underground.cz
Pátek Prosinec 8 08:51:36 CET 2000 

On Fri, Dec 08, 2000 at 08:17:23AM +0100, Michal.Vymazal na deltax.cz wrote:
> Zapomnel jsem asi uvest to hlavni. Totiz, ze kazdy system musi mit
> spravce, ktery mu rozumi. Spravce, ktery se alespon jednou denne
> nepodiva do logu, neprecte si nejaky ten clanek nebo manual a tezce si
> vzpomina, kde ma server je jeste horsi nez ta derava proxy.

Tak to jste opravdu zapomnel na to hlavni :) V tom pripade uz je jenom
otazkou, kdy system navstivi nekdo vzdelanejsi nez jeho spravce,
eventualne kdyz hacker ma v ruce exploit na nejakou diru, kterou spravce
(zatim) nezna ...

Nekdy staci takova blbost, jako kdyz se objevi nejaka bezpecnostni dira
v patek odpoledne a spravce se o ni dozvi az v pondeli rano. Cely vikend
bude system zranitelny.

> Ale firewall A, DMZ a firewall B je celkem bezne pouzivany model.
> Casto byvaji i skenery ve vnitrni siti, ktere hlidaji urcite typy paketu.

Jake? To spojeni mezi trojskymi koni, co jsem popsal, je naprosto
"normalni" a muze byt udelano tak, ze je naprosto nerozeznatelne od
"normalniho" http browseni.

> Ovsem s javatunnelem to budou mit tezke. 

Co to je javatunnel? To nejak souvisi s Javou? A kdo mluvi o Jave?

> Dalo mi hodne prace chytit tohle spojeni (napr. BrownOrifice) do
> paketoveho filtru. 

Hm, ale to jste se zbavil jenom BrownOrifice ... (jestli vubec).

> Sycak si oteviral spojeni se zdrojovou adresou meho loopbacku. Zase
> jsem se necemu novemu priucil:-)

Tak takto otevrene spojeni by mu bylo uplne naprd, protoze by nebylo
obousmerne.

> > A mam hned par navrhu:
> > 1) Jiny SUBJ, aby to pak bylo mozne najit v archivu. Nechavam na diskusi.
> > 2) Navrhuji dat si modelovou topologii tak, ze budeme mit pripojeni do
> > internetu skrze dva firewally za sebou (a mezi nimi treba
> demilitarizovanou
> > zonu).
> > 3) Navrhuji, aby oba dva firewally (namet do diskuse) logovaly vsechny
> tcp
> > pakety se SYN flagem.
> > 4) Do Internetu jde firewall A, pak je DMZ, pak je firewall B a za nim
> > Intranet (nebo lokalni sit, interni sit)).
> > 5) Pocitace v interni siti neposkytuji zadne sluzby ven.
> > Dalsi body (stejne jako upravy a zmeny v bodech 1-5) davam hned do
> diskuze.
> 
> Jeste jenom takova mala technicka ...
> 
> Samozrejme cim vice firewallu a cim vice proxy-serveru postavite
> hackerovi do cesty, tim vice prace mu pridelavate (bude se tim muset
> prokousavat postupne). Nehlede na to, ze spatna proxy je horsi nez zadna
> proxy (pokud lze proxy server exploitnout, je lepsi ho tam nemit ...).
> 
> Kazdopadne pro "bezneho" hackera jsou nejzajimavejsi prave ty vystavene
> servery (routery, vnejsi firewally, web/mail/ftpservery ...), Intranet
> si strcte treba za klobouk ;-)

-- 
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 > 
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///

Další informace o konferenci Linux