Nezvany host (attack)

[Stanislav Meduna]

On 31 Mar 2001 23:48:48 +0200, David Rohleder wrote:

:> Kdyz odfiltrujete pouze 111, pak pouze odstranite jednoduchou
:> cestu, jak ten port, kde rpc.statd sedi, najit, ale lidi,
:> co maji dost kuraze a casu, mohou prolezt vsechny porty a na kazdem
:> se zeptat.

: No jo, ale jak to u vzdalenych sluzeb udelat jinak?

Aspon posielat viac informacie, ako len cislo portu, na ktorom
sedi sluzba. Problem RPC je v tom, ze volana sluzba nema predstavu,
ci sa k nej klient dostal legalne alebo podfukom. Pokial utrafite
jedno cislo, nepotrebujete mount na to, aby ste sa dostali na NFS.
Pokial uhadnete port, nepotrebujete portmapper. A tak dalej.
Snazit sa toto platat filtrovanim je vopred prehraty boj :-(

Komu to nestaci, prava sranda zacne, ak sa rozsiri SOAP a podobne
zalzitosti. Strucne povedane: vsetko ide cez http a filtrovanie
sa robi na zaklade obsahu spravy. Takze zabudnite na vobec
nejake filtrovanie na urovni TCP/IP, nech zije nova halda
protokolov s bezpecnostnymi vlastnostami ako prave niekoho
napadlo :-)

Zdravi
-- 
                                      Stano