Fwd: Fw: Zac. - Je maskarada postacujici?

[Ing. Miroslav Cabarka]

>Ahoj,
> > uz delsi dobu premyslim nad jednou veci. Muze se nekdo dostat na
> >  maskaradovane stroje? OK, firewall, ktery maskaradu poskytuje musi
> >  byt zabezpeceny, ma prece unikatni ip adresu, ale stroje za nim?
> >
> > Totiz vrta mi hlavou jedna vec, kdyz poradne zabezpecim firewall a
> >  budu mit na nem maskaradu, teoreticky jsem v pohode. Ok, asi ne, ale
> >  rad bych se dozvedel neco vic, jak to funguje. Nebo je ma predstav,
> >  ze pokud ma pocitac ip adresu typu 192.168.0.x neda se na nej
> >  dostat, zcela mylna a naivni?

Z internetu sa neda dostat priamo na pocitac, ktory ma niektoru z 
privatnych IP adries. Dovodom je to, ze v hlavicke IP protokolu je nutne 
zadat cielovu IP adresu, z rozsahu vyhradenych adries (toto sa neda nijako 
obist - ak neuvazujeme IP tunel) a podla tejto hlavicky sa routuje. 
Respektive neroutuje, lebo pravdepodobne prvy korektne nastaveny server 
paket s takouto cielovou adresou odmietne. Nie je teda mozne utocit po 
internete na pocitac s privatnou IP adresou.

Okrem toho kazdy korektne nastaveny firewall to odmietne tiez. Nastavuje sa 
to preto, aby sa nedalo utocit ani od providera - tada za vsetkymi routrami.

Kazdy pocitac pripojeny do internetu vsak musi mat verejnu adresu a to je 
slabe miesto. Staci sa naburat do  tohto pocitaca, potom sa vlastne 
vnutorne rozhranie  stava lokalnym, da sa nasadit sniffer, odchytit hesla, 
napadnut niektoru masinu na vnutornej sieti. Proti tomuto sa da branit 
jednak solidnym nastavenim firewallu, ale hlavne tzv. obranou do hlbky. To 
sa robi zaradenim este jedneho routra (firewallu) do cesty, alebo (a) 
slusnejsim zabezpecenim vsetkych cennejsich pocitacov vo vnutornej sieti. 
Podla akychsi statistik je cca 80% utokov vedenych z vnutiornej siete 
opravnenymi uzivatelmi systemu. Preto sa doporucuje chranit napr. servery s 
citlivymi datami rovnako ako verejne servery.

Prijemny vecer.


Ing. Miroslav Cabarka
mcabarka na arka.sk
mirodoma na arka.sk
ARKA, a.s.