OT:SYN FLOODING

Martin Mačok martin.macok na underground.cz
Neděle Prosinec 10 12:03:53 CET 2000


On Sun, Dec 10, 2000 at 01:59:27AM +0100, Pavel Kankovsky wrote:
> O co jde: chceme, aby FTP demon mohl v pripade potreby poslouchat i na
> jinych portech a prijimat na nich spojeni, ergo na tyto porty bychom
> chteli udelat diru ve firewallu, ale bohuzel predem nevime, co to za
> porty bude.
> 
> Mozne pristupy k reseni (minimalne dve lze snadno na linuxovem systemu
> pouzit):
> 1. Nastavenim rozsahu anonymnich portu (local_port_range nebo jak se to
>    jmenuje) vymezime mj. i rozsah portu, na kterych muze ftpd poslouchat
>    (protoze socket poslouchajici na datovem spojeni je typicky autobound),
>    a pokud je male riziko, ze by tam mohl chtit poslouchat i nekdo jiny,
>    pak muzeme povolit navazovani spojeni na tyto porty. Tohle jste nejak
>    odmital, ale pri vsi ucte, asi jste to nejak nepochopil.
> 2. Vybereme nejakou volnou mnozinu portu disjunktni s mnozinou portu, na
>    kterych posloucha nebo by mohlo poslouchat neco jineho, upravime ftpd,
>    aby explicitne pouzival porty z teto mnoziny a povolime k nim pristup.
> 3. Upravime ftpd tak, aby firewallu sam ohlasil, ze by chtel nejaky port
>    otevrit, nasledkem cehoz to firewall provede (s vhodnymi omezenimi,
>    aby naborenim ftpd nebylo mozno fw odstavit).
> 4. Pouzijeme takovy firewall, ktery sam pozna, ze ma otevrit pristup, kdyz
>    uvidi odpoved na prikaz PASV (tohle uz dlouho umi maskarada, ale je
>    to spojeno s jistymi riziky).

Me napada jeste jedno, ktere je nejspis jeste jednodussi a lze ho na
Linuxu snadno pouzit: (za cenu dalsiho pocitace)

5. FTP server, ktery ma byt pristupny skrze firewall, nainstalujeme na
dedikovany pocitac, na kterem nic jineho nepobezi a na tom firewallu
povolime spojeni na vsechny porty na tento FTP server.

(V praxi bych na tom serveru jeste spustil sshd, a port 22 bych na tom
firewallu "vhodne omezil".).

Preji hezky den

-- 
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 > 
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///


Další informace o konferenci Linux