Jak zabezpečit linuxovou stanici?

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Čtvrtek Červen 6 09:33:21 CEST 2002 

Michal Vymazal wrote:
> Martin Kamín wrote:
> > nedobytny? Pokud ne, jaka rizika tam jeste zustanou?

	V podstate mne v principu napadaji dve, jedno ciste teoreticke, druhe
realne:

1. Ackoli Vam nebezi aplikacni sluzby, server posloucha pomoci sitovych
protokolu a to jak fyzicke, tak linkove, tak i sitove vrstvy (toto
neovlivnite, pokud chcete mit k dispozici Internet). Pokud bude nalezena
chyba v obsluze techto protokolu, muze Vas napadnout utocnik a pokusit
se techto chyb vyuzit - moznost vzhledem k dlouhodobemu pouzivani je
temer nepravdepodobna (ale neni vyloucena - posledni pripad, ktery mne
napada z teto oblasti byt pomerne dlouhy ping (ICMP packet), ktery
shazoval routery:-> - neni mi ale znamo, ze by tato chyba vedla k
nadvlade nad postizenym strojem)

2. Pokud spustite jakykoli program na tom stroji, o kterem 100% nevite
co presne dela, muze se stat, ze otevre komunikacni kanal (port) a tim
padem, ackoli nemate spusteny zadne aplikacni sluzby, v tuto chvili ve
skutecnosti exportujete do Internetu komunikacni port... - tato hrozba
je realna ...

> pakety zvenci jednoduse zahodi). Nerikam, ze je to stoprocentni, ale je to
> jednoduche a prehledne reseni.

	Myslim, ze toto ucinne blokuje muj druhy pripad (ad 2)) v pripade TCP,
v pripade UDP podobnou moznost nemame:-( - nemluve o RAW a jinych
variantach protokolu zapouzdrenych v IP - obecne je to sice reseni,
ktere resi par problemu, ale neni to ochrana pred mym druhym pripadem -
osobne nevim, jak bych to mel konkretne v Linuxu bez docela tvrdeho
zasahu do jadra dosahnout (a i tak si tu situaci nedovedu dost dobre
predstavit - SYN flag se muze uplatnit u stavovych protokolu, bohuzel
(?) spousta z nich je stateless (UDP & spol.))...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux