OT:SYN FLOODING

[Michal.Vymazal na deltax.cz]

Mate pravdu, to spojeni mezi trojskymi koni je naprosto normalni, ovsem jen
pro tu komunikaci, ktera jde skrze firewally ven. Trojskeho kone by mel
(jenze principielne bohuzel ne hned) dostat ten skener ve vnitrni siti. Nas
trosky kun (tedy klient na uzivatelove stroji) si totiz musi nejake to
spojeni otevrit a nejspis si otevre nejaky ten volny port. Tohle by skener
mel odhalit (samozrejme, pokud se na ten stroj vubec podiva). Samozrejme
problem. Jak delat heuristickou analyzu paketu ve vnitrni siti, aniz bych
zahltil provoz. Napada nekoho z vas neco?

Michal Vymazal


> Ale firewall A, DMZ a firewall B je celkem bezne pouzivany model.
> Casto byvaji i skenery ve vnitrni siti, ktere hlidaji urcite typy paketu.

Jake? To spojeni mezi trojskymi koni, co jsem popsal, je naprosto
"normalni" a muze byt udelano tak, ze je naprosto nerozeznatelne od
"normalniho" http browseni.

> Ovsem s javatunnelem to budou mit tezke.

Hm, ale to jste se zbavil jenom BrownOrifice ... (jestli vubec).

> Sycak si oteviral spojeni se zdrojovou adresou meho loopbacku. Zase
> jsem se necemu novemu priucil:-)

Tak takto otevrene spojeni by mu bylo uplne naprd, protoze by nebylo
obousmerne.

> > A mam hned par navrhu:
> > 1) Jiny SUBJ, aby to pak bylo mozne najit v archivu. Nechavam na
diskusi.
> > 2) Navrhuji dat si modelovou topologii tak, ze budeme mit pripojeni do
> > internetu skrze dva firewally za sebou (a mezi nimi treba
> demilitarizovanou
> > zonu).
> > 3) Navrhuji, aby oba dva firewally (namet do diskuse) logovaly vsechny
> tcp
> > pakety se SYN flagem.
> > 4) Do Internetu jde firewall A, pak je DMZ, pak je firewall B a za nim
> > Intranet (nebo lokalni sit, interni sit)).
> > 5) Pocitace v interni siti neposkytuji zadne sluzby ven.
> > Dalsi body (stejne jako upravy a zmeny v bodech 1-5) davam hned do
> diskuze.