Firewall: DROP nebo REJECT

Dan Bar Daniel.Bar na seznam.cz
Úterý Leden 14 22:33:07 CET 2003


> DROP je cerna dira. Pokud by cely stroj na vsech portech (i pro ostatni
> protokoly) choval takto, mohl by si dotycny myslet, ze vas stroj
> neexistuje (je vypnuty). Jenze pak byste musel ekvivalentni chovani
> zajistit od predchazejiciho routeru (jinaci zpravu poda posledni router
> v pripade, ze vas pocitac odpovida na lokalni siti na ARP a jinou pokud
> neodpovida ani na ARP).
>
> Cili teoreticky by to mohlo byt dobre na "odrazeni" utocnika. Jenze
> protoze vsechny portscany dnes delaji v 99% automaty a skripty, ktere
> jednoduse projizdeji vsechny mozne IP adresy, nema to valny vyznam.
>

To jsem mel na mysli. Utocnik tak jako tak zjisti, jestli je dany stroj up
nebo ne. Pravda poprve jsem se divil jak mohl nmap zjistit, ze chraneny
stroj bezi (DROP) i kdyz nedostal zpet ani jediny paket. Teprve pak mi
doslo, ze pokud by stroj nebezel, musel by od routeru dostat ICMP host
unreachable - jak je napsano vyse.

>
> Nicmene ve vasem pripade by mohl byt DoS proveden jednoduse, protoze
> (jak se zda) vsechno peclive logujete... :)

Loguju, ale s -m limit, takze na DoS to snad zatim nebude :). Pravda udavane
udaje o poctu paketu potom asi nebudou nejpresnejsi pokud byla prvotni
nadilka paketu pres nastaveny burst. A zrejme idealni by bylo davat logy
nekam, kde zaplneni disku nebude tak velky problem (separatni partition).

Jak jsem predeslal, uvazoval jsem o tom spis jako o psychosocialni studii
chovani utocniku. Mozna se mylim, ale myslim ze 90 % (a mozna vic) vsec
utoku pochazi spis od lidi, ktere nelze povazovat za skutecne hackery. Odtud
vyplyva i pouziti ruznym automatu na portscan. Rikal jsem si, ze pokud se
odpovedi nedockaji (timeout), je zde urcita pravdepodobnost, ze ztrati
trpelivost. (a jeste doplnim, cilovy stroj byla brana bez verejnych sluzeb)
Na druhou stranu, mozna taky ne :). Mozna to spoustu z nich spise motivuje k
dalsimu hledani skulinky.

V kazdem pripade diky za prispevky

Dan

P.S. Zacinam vazne uvazovat, ze skusim TCP RST + ICMP.





---
Odchozí zpráva neobsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.443 / Virová báze: 248 - datum vydání: 10.1.2003




Další informace o konferenci Linux