Jak zabezpečit linuxovou stanici?
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Čtvrtek Červen 6 09:33:21 CEST 2002
Michal Vymazal wrote:
> Martin Kamín wrote:
> > nedobytny? Pokud ne, jaka rizika tam jeste zustanou?
V podstate mne v principu napadaji dve, jedno ciste teoreticke, druhe
realne:
1. Ackoli Vam nebezi aplikacni sluzby, server posloucha pomoci sitovych
protokolu a to jak fyzicke, tak linkove, tak i sitove vrstvy (toto
neovlivnite, pokud chcete mit k dispozici Internet). Pokud bude nalezena
chyba v obsluze techto protokolu, muze Vas napadnout utocnik a pokusit
se techto chyb vyuzit - moznost vzhledem k dlouhodobemu pouzivani je
temer nepravdepodobna (ale neni vyloucena - posledni pripad, ktery mne
napada z teto oblasti byt pomerne dlouhy ping (ICMP packet), ktery
shazoval routery:-> - neni mi ale znamo, ze by tato chyba vedla k
nadvlade nad postizenym strojem)
2. Pokud spustite jakykoli program na tom stroji, o kterem 100% nevite
co presne dela, muze se stat, ze otevre komunikacni kanal (port) a tim
padem, ackoli nemate spusteny zadne aplikacni sluzby, v tuto chvili ve
skutecnosti exportujete do Internetu komunikacni port... - tato hrozba
je realna ...
> pakety zvenci jednoduse zahodi). Nerikam, ze je to stoprocentni, ale je to
> jednoduche a prehledne reseni.
Myslim, ze toto ucinne blokuje muj druhy pripad (ad 2)) v pripade TCP,
v pripade UDP podobnou moznost nemame:-( - nemluve o RAW a jinych
variantach protokolu zapouzdrenych v IP - obecne je to sice reseni,
ktere resi par problemu, ale neni to ochrana pred mym druhym pripadem -
osobne nevim, jak bych to mel konkretne v Linuxu bez docela tvrdeho
zasahu do jadra dosahnout (a i tak si tu situaci nedovedu dost dobre
predstavit - SYN flag se muze uplatnit u stavovych protokolu, bohuzel
(?) spousta z nich je stateless (UDP & spol.))...
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux