Авторы и не старались написать ни о чем кроме виндов. Зачем вы, умники, сравниваете юниксовые рутеры и виндовые персональные фаеры? Эта статья именно про персональные виндовые фаеры, которые как раз и являются "соломенными ширмами" (особый вклад в это вносят кривые руки пользователей).
>Эта статья именно про персональные виндовые фаеры<
это откуда извиняюсь такие данные? в статье слово Windows встречается всего один раз в каком-то второстепенном примере, в словосечетании - "Windows DLL" ...
Гость, 08.09.2005 13:54:50 Ох, как ты не прав! Обоити ПФ просто, я бы даже сказал очень просто! Настроикой Ф "обычный" пользователь пренебрегает в 90% случаев (по краиней мере в моей сети этот верно) и висит эта "стенка" как занавеска на форточке.
2CyberManiac: Prove your words - попробуй сломать Microsoft.com для начала - там точно никсы стоят, ибо не верит своему т.н. "серверному" если можно так выразится "продукту" M$ настолько, чтобы фронт-серверы на нём держать, а вот лохам вперать что Windows - это круто - этим M$ занимается профессионально, однако что бухгалтеру хорошо не всегда подходит для использования в качестве серьёзной серверной платформы.
народ такое ощущени что тут все поголовно ламеры .... никсы ломаются порой даже проще чем винда...нормального фаервола способного отразить все атаки и отследить подгрузку левых потоков я пока не видел единственный способ енто написать свой обрабатывающий все запросы на уровне 0 кольца...
Ну надо же, все вокруг лохи и один весь в белом, знает КАК нужно писать файры. "На уровне 0 кольца" %) Такое ощущение....
iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACEPT iptables -A INPUT -j DROP
не так. так останешься без udp & icmp. Кроме того нельзя будет инициировать новые соединения. надо так: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACEPT iptables -P INPUT DROP
нормального фаервола способного отразить все атаки и отследить подгрузку левых потоков я пока не видел
Что значит "все атаки"? От атак, основанных на ошибках реализации серверов прикладных протоколов, фильтрация пакетов, естественно, не спасает.
Цитата
единственный способ енто написать свой обрабатывающий все запросы на уровне 0 кольца...
Какие запросы? При чем тут нулевое кольцо процессора? Фильтрация пакетов проводится в kernel-space. В user-space работает только программа-конфигуратор. Из www.netfilter.org, например: netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack.
Кстати, вспомнил, где я этого "специалиста по сетевой безопасности" видел! http://wasm.ru/article.php?article=tbc14 Занимайтесь своим делом, и не стройте из себя специалиста во всех областях IT.
Эта статья именно про персональные виндовые фаеры<
это откуда извиняюсь такие данные? в статье слово Windows встречается всего один раз в каком-то второстепенном примере, в словосечетании - "Windows DLL" ...
половина статьи написана про фильтры процессов на шлюзовых фаерах нет фильтров процессов
>не так. так останешься без udp & icmp. >надо так: >iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACEPT >iptables -P INPUT DROP
Для справки: UDP и ICMP не бывают ни ESTABLISHED, ни RELATED. Как ни как - протоколы без установления соединений. Для них нужны отдельные правила. А RELATED нужен только для многосессионных протоколов (FTP - две TCP сессии на 21 порт и с 20 порта, или PPTP - TCP на 1723 и GRE поток)
"А так ли крут тот бэтмэн?" (см.посты в начале статьи).И не только одни кошки дырявые. Например, ADSL-роутер от д-линк (сойдет за упомянутый в начале железяк?) я вполне себе научился валить(правда, сугубо из интранета).Если качественно и мощно флудануть из интранета тонной TCP конекций и запросов DNS - он честно слетает от такого злодейства на дефолты(видимо попутно ребутясь).При этом правда хацкер останется без инета и даже без пароля от инета :funny: но поглумиться над девайсом может как угодно поюзав дефолтный логин\пасс (можно фирмварь другую влить, что-то самопальное настроить, ...).Не знаю все ли версии фирмвари на это покупаются но та которая у меня - с такой вот дырой.Кстати кому не впадлу заколотите в багтрек Software Version V1.00B02T02.RU.20041229.Может и другие версии дырявые, хз не проверял.
Ближе к телу : Есть такая конфа : Win 98 ОЧЕНЬ_СИЛЬНО_98LITE, соответственно про IE, OE и прочую хню забудьте сразу - нет даже их родных каталогов. Из системы убит VB / VBA (del *VB*.*), так что макровирусы и WSH не предлагать. OutPost 2.7, невидимость, без NETBIOS, JS и Cookies разрешены буквально паре сайтов, это максимум. Доверенных приложений нет, все дефолтные проги в Запрещенных, пользовательских ровно три : Total CMD 6.03 as FTP Client Opera 8.01 as Browser and IRC Client and MailClient Miranda 0.4 as ICQ Client. Все это хозяйство дополнительно сдобрено неслабыми блок-листами анти-рекламы и оттвикано. В Опере по дефолту вырублено все, кроме GIF-анимации. Для всех бинарных файлов подсчитаны MD5-хеши, файлы с которыми подписаны моим PGP-ключом, который обычно лежит на кривом PGP-диске. Задача - найти и скопировать мою адресную книгу. Любые Ваши идеи приму с благодарностью.
>хм... делаем так: >и смотрим в /proc/net/ip_conntrack
Хорошо, conntrack подсистема netfilter зачем-то ведет учет ICMP и UDP пакетов.
Научи уму-разуму, расскажи, пожалуйста, какие UDP пакеты попадут под правило state ESTABLISHED, а какие нет. Для DNS еще можно представить (там хоть ответ предполагается), а как быть с односторонними потоками, типа NetFlow?
Научи уму-разуму, расскажи, пожалуйста, какие UDP пакеты попадут под правило state ESTABLISHED, а какие нет.
ответ: все. для udp & icmp состояние игнорируется и в данном случае просто выполняется ACCEPT. Если не веришь, добавь icmp & udp в raw таблицу, чтобы отключить для них conntrack.