Nezvany host (attack)
David Rohleder
davro na ics.muni.cz
Sobota Březen 31 23:48:36 CEST 2001
peak na argo.troja.mff.cuni.cz (Pavel Kankovsky) writes:
> On Mon, 26 Mar 2001, Pavel wrote:
>
> > Utocnik sel pres RPC, konkretne chybu v rpc.statd, ktera je znama uz VELMI
> > dlouho, pravdepodobne mate system RedHat 6.2.
> > Rada: pokud nemusite pouzivat RPC, nepouzivejte ho.
> > Ja ho treba blokuju na Firewallu (port 111-tzv portmaper).
>
> Vzhledem k tomu, ze vlastni RPC sluzby jedou na jinych, dynamicky
> alokovanych (*), portech. Kdyz odfiltrujete pouze 111, pak pouze
> odstranite jednoduchou cestu, jak ten port, kde rpc.statd sedi, najit, ale
> lidi, co maji dost kuraze a casu, mohou prolezt vsechny porty a na kazdem
> se zeptat.
>
> (*) Clovek, co to vymyslel, byl urcite tajny agent organizace bojujici
> proti filtrovani IP <g>. Nicmene dobra zprava je, ze veci jako rpc.statd
No jo, ale jak to u vzdalenych sluzeb udelat jinak?
Mozna by stala za uvahu nejaka zpetna vazba z portmapperu, ktera by
posilala informace o nove se pripojovanych sluzbach firewallu, ktery
by je pak blokoval (neslo by to udelat jako vzdalena sluzba? :).
IMHO je 65535 prilis male cislo pro vsechny potencialni RPC sluzby.
Navic navrhari protokolu tezko mohou uvazovat o zprasene implementaci
nektere RPC sluzby.
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux