Nezvany host (attack)
Stanislav Meduna
stano na trillian.eunet.sk
Neděle Duben 1 10:34:08 CEST 2001
On 31 Mar 2001 23:48:48 +0200, David Rohleder wrote:
:> Kdyz odfiltrujete pouze 111, pak pouze odstranite jednoduchou
:> cestu, jak ten port, kde rpc.statd sedi, najit, ale lidi,
:> co maji dost kuraze a casu, mohou prolezt vsechny porty a na kazdem
:> se zeptat.
: No jo, ale jak to u vzdalenych sluzeb udelat jinak?
Aspon posielat viac informacie, ako len cislo portu, na ktorom
sedi sluzba. Problem RPC je v tom, ze volana sluzba nema predstavu,
ci sa k nej klient dostal legalne alebo podfukom. Pokial utrafite
jedno cislo, nepotrebujete mount na to, aby ste sa dostali na NFS.
Pokial uhadnete port, nepotrebujete portmapper. A tak dalej.
Snazit sa toto platat filtrovanim je vopred prehraty boj :-(
Komu to nestaci, prava sranda zacne, ak sa rozsiri SOAP a podobne
zalzitosti. Strucne povedane: vsetko ide cez http a filtrovanie
sa robi na zaklade obsahu spravy. Takze zabudnite na vobec
nejake filtrovanie na urovni TCP/IP, nech zije nova halda
protokolov s bezpecnostnymi vlastnostami ako prave niekoho
napadlo :-)
Zdravi
--
Stano
Další informace o konferenci Linux