OT:SYN FLOODING
Martin Mačok
martin.macok na underground.cz
Neděle Prosinec 10 12:03:53 CET 2000
On Sun, Dec 10, 2000 at 01:59:27AM +0100, Pavel Kankovsky wrote:
> O co jde: chceme, aby FTP demon mohl v pripade potreby poslouchat i na
> jinych portech a prijimat na nich spojeni, ergo na tyto porty bychom
> chteli udelat diru ve firewallu, ale bohuzel predem nevime, co to za
> porty bude.
>
> Mozne pristupy k reseni (minimalne dve lze snadno na linuxovem systemu
> pouzit):
> 1. Nastavenim rozsahu anonymnich portu (local_port_range nebo jak se to
> jmenuje) vymezime mj. i rozsah portu, na kterych muze ftpd poslouchat
> (protoze socket poslouchajici na datovem spojeni je typicky autobound),
> a pokud je male riziko, ze by tam mohl chtit poslouchat i nekdo jiny,
> pak muzeme povolit navazovani spojeni na tyto porty. Tohle jste nejak
> odmital, ale pri vsi ucte, asi jste to nejak nepochopil.
> 2. Vybereme nejakou volnou mnozinu portu disjunktni s mnozinou portu, na
> kterych posloucha nebo by mohlo poslouchat neco jineho, upravime ftpd,
> aby explicitne pouzival porty z teto mnoziny a povolime k nim pristup.
> 3. Upravime ftpd tak, aby firewallu sam ohlasil, ze by chtel nejaky port
> otevrit, nasledkem cehoz to firewall provede (s vhodnymi omezenimi,
> aby naborenim ftpd nebylo mozno fw odstavit).
> 4. Pouzijeme takovy firewall, ktery sam pozna, ze ma otevrit pristup, kdyz
> uvidi odpoved na prikaz PASV (tohle uz dlouho umi maskarada, ale je
> to spojeno s jistymi riziky).
Me napada jeste jedno, ktere je nejspis jeste jednodussi a lze ho na
Linuxu snadno pouzit: (za cenu dalsiho pocitace)
5. FTP server, ktery ma byt pristupny skrze firewall, nainstalujeme na
dedikovany pocitac, na kterem nic jineho nepobezi a na tom firewallu
povolime spojeni na vsechny porty na tento FTP server.
(V praxi bych na tom serveru jeste spustil sshd, a port 22 bych na tom
firewallu "vhodne omezil".).
Preji hezky den
--
< Martin Mačok .-= martin.macok na underground.cz =-. < iso-8859-2 >
\\. http://kocour.ms.mff.cuni.cz/~macok/ http://underground.cz/ .//
\\\.. `-= t.r.u.s.t n.0 o.n.e =-' ..///
Další informace o konferenci Linux