firewall a HTTP
Chlopcik Ales
chlopcik na vojnem-plzen.cz
Čtvrtek Srpen 5 02:19:42 CEST 2004
Michal Kubecek wrote:
>
> On Thu, Aug 05, 2004 at 12:27:55AM +0200, Peter Surda wrote:
> >
> > > Jakykoliv firewall, ktery umozni byt jen bazalni komunikaci smerem ven (i
> > > kdyby to bylo treba jen DNS) totiz schopny uzivatel hrave obejde.
> > Jasne, castejsia je vsak horeuvedena kategoria, a sice ze pocitac robi nieco o
> > com vlastnik nevie.
>
> Já jsem tedy žádný takový program nepsal, ale kdyby ano, určitě bych
> komunikaci směrem ven maskoval jako dotaz na normální webový server,
> tedy TCP na port 80 a pokud možno ještě aby to vypadalo jako HTTP. Zdá
> se mi to celkem logické. Takže mi taková "obrana" připadá poněkud
> nesmyslná a zbytečná.
>
> Michal Kubeček
Sorry, ale Vy mate povolene napr. porty 137-9 ? A to mate cistou
(NonWhoKnows) sit ? Pokud ano, pak Vam zavidim.
Ja osobne povazuji za podstatne vyhodnejsi povolit ven jen _nektere_
porty, ostatni logovat a pak (na zaklade tech logu ciniti akce. Dost
jsem se divil, co vsechno (z WhoKnows stroju :-) a kudy se dobyva ven.
Nakonec jsme to vyresili tak, ze vsichni chodi pouze na jediny stroj
(proxy) a pouze ten (a pouze _nekterymi_ porty) smi jit ven.
IMHO neni v lidskych silach uhlidat 50 (a vic) koncu (pokud clovek
nedela jen FW, ale i jinou praci).
Ales
Další informace o konferenci Linux