Firewall: DROP nebo REJECT
Milan Kerslager
milan.kerslager na pslib.cz
Pondělí Leden 13 20:15:00 CET 2003
On Mon, Jan 13, 2003 at 06:53:59PM +0100, Dan Bar wrote:
>
> kdyz jsem studoval iptables firewall, narazil jsem na netu na diskuse zda
> pouzivat pro pakety smerujici na filtrovane porty radeji DROP, nebo ICMP
> (port unreachable) + TCP (RST) odpovedi.
> Podle RFC by se sice mela pouzivat druha variata, ale nektere prispevky se
> zminovaly o rapidnim narustu nepovoleneho provozu v porovnani s DROP. Jde
> tady spis o socialni studii chovani hackeru nez o cokoli jineho. Presto,
> jake s tim mate zkusenosti, co pouzivate ?
REJECT je metoda jak rict, ze dany port je zavreny, tj. ze Vam dany SW
na tom pocitadle "nebezi".
DROP je cerna dira. Pokud by cely stroj na vsech portech (i pro ostatni
protokoly) choval takto, mohl by si dotycny myslet, ze vas stroj
neexistuje (je vypnuty). Jenze pak byste musel ekvivalentni chovani
zajistit od predchazejiciho routeru (jinaci zpravu poda posledni router
v pripade, ze vas pocitac odpovida na lokalni siti na ARP a jinou pokud
neodpovida ani na ARP).
Cili teoreticky by to mohlo byt dobre na "odrazeni" utocnika. Jenze
protoze vsechny portscany dnes delaji v 99% automaty a skripty, ktere
jednoduse projizdeji vsechny mozne IP adresy, nema to valny vyznam.
Uvaha by mohla byt i takova, ze kdyz dostane RST, da pokoj. Kdyz
nedostane nic, zkusi to za chvili znovu.
Takze je to v podstate jedno. Nicmene DROP alespon setri linku smerem
ven (pokud ji mate tenkou). RST muze byt naopak zaminkou k DoS...
Nicmene ve vasem pripade by mohl byt DoS proveden jednoduse, protoze
(jak se zda) vsechno peclive logujete... :)
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux