Программные межсетевые экраны: огненная стена или соломенная ширма? Ча

Гость

Guest

Это нравится:0 Да/0 Нет

08.09.2005 14:28:06

Авторы и не старались написать ни о чем кроме виндов. Зачем вы, умники, сравниваете юниксовые рутеры и виндовые персональные фаеры? Эта статья именно про персональные виндовые фаеры, которые как раз и являются "соломенными ширмами" (особый вклад в это вносят кривые руки пользователей).

Гость Guest	#22 Это нравится:0 Да/0 Нет 08.09.2005 21:35:13 :spam: Все едино, ламье будет ставить себе AntiHacker и Outpost (иногда даже в паре )

_ext

Guest

#23

Это нравится:0 Да/0 Нет

08.09.2005 21:43:31

>Эта статья именно про персональные виндовые фаеры<

это откуда извиняюсь такие данные? в статье слово Windows встречается
всего один раз в каком-то второстепенном примере, в словосечетании -
"Windows DLL" ...

Тот кто это * почти каждый *

Guest

#24

Это нравится:0 Да/0 Нет

08.09.2005 21:45:25

Гость, 08.09.2005 13:54:50
Ох, как ты не прав!
Обоити ПФ просто, я бы даже сказал очень просто! Настроикой Ф "обычный" пользователь пренебрегает в 90% случаев (по краиней мере в моей сети этот верно) и висит эта "стенка" как занавеска на форточке.

Guest

#25

Это нравится:0 Да/0 Нет

09.09.2005 00:23:31

2CyberManiac
>никсы ломаются порой даже проще чем винда...нормального фаервола ..... я пока не видел

Дарагой! За свои слова отвечаешь? Ты хоть намекни, как обойти, например, это

iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACEPT
iptables -A INPUT -j DROP

Если, конечно, понимаешь о чем речь :-)

Cергей

Guest

#26

Это нравится:0 Да/0 Нет

09.09.2005 00:37:48

2CyberManiac: Prove your words - попробуй сломать Microsoft.com для начала - там точно никсы стоят, ибо не верит своему т.н. "серверному" если можно так выразится "продукту" M$ настолько, чтобы фронт-серверы на нём держать, а вот лохам вперать что Windows - это круто - этим M$ занимается профессионально, однако что бухгалтеру хорошо не всегда подходит для использования в качестве серьёзной серверной платформы.

sdv

Guest

#27

Это нравится:0 Да/0 Нет

09.09.2005 02:08:31

Цитата

народ такое ощущени что тут все поголовно ламеры .... никсы ломаются порой даже проще чем винда...нормального фаервола способного отразить все атаки и отследить подгрузку левых потоков я пока не видел единственный способ енто написать свой обрабатывающий все запросы на уровне 0 кольца...

Ну надо же, все вокруг лохи и один весь в белом, знает КАК нужно писать файры. "На уровне 0 кольца" %) Такое ощущение....

^rage^

Guest

#28

Это нравится:0 Да/0 Нет

09.09.2005 05:55:16

Цитата
iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACEPT iptables -A INPUT -j DROP

не так. так останешься без udp & icmp. Кроме того нельзя будет инициировать новые соединения.
надо так:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACEPT
iptables -P INPUT DROP

Гость

Guest

#29

Это нравится:0 Да/0 Нет

09.09.2005 07:20:33

CyberManiac:

Цитата
нормального фаервола способного отразить все атаки и отследить подгрузку левых потоков я пока не видел

Что значит "все атаки"? От атак, основанных на ошибках реализации серверов прикладных протоколов, фильтрация пакетов, естественно, не спасает.

Цитата
единственный способ енто написать свой обрабатывающий все запросы на уровне 0 кольца...

Какие запросы? При чем тут нулевое кольцо процессора? Фильтрация пакетов проводится в kernel-space. В user-space работает только программа-конфигуратор. Из www.netfilter.org, например: netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack.

Кстати, вспомнил, где я этого "специалиста по сетевой безопасности" видел! http://wasm.ru/article.php?article=tbc14 Занимайтесь своим делом, и не стройте из себя специалиста во всех областях IT.

Гость

Guest

#30

Это нравится:0 Да/0 Нет

09.09.2005 07:58:34

Цитата
Эта статья именно про персональные виндовые фаеры< это откуда извиняюсь такие данные? в статье слово Windows встречается всего один раз в каком-то второстепенном примере, в словосечетании - "Windows DLL" ...

половина статьи написана про фильтры процессов
на шлюзовых фаерах нет фильтров процессов

Иван Петров Guest	#31 Это нравится:0 Да/0 Нет 09.09.2005 08:16:47 Нормальная статья. Для начинающих в самый раз.

Guest

#32

Это нравится:0 Да/0 Нет

09.09.2005 11:03:51

2^rage^ - гранд мастеру :-)

)

>не так. так останешься без udp & icmp.
>надо так:
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACEPT
>iptables -P INPUT DROP

Для справки: UDP и ICMP не бывают ни ESTABLISHED, ни RELATED. Как ни как - протоколы без установления соединений. Для них нужны отдельные правила. А RELATED нужен только для многосессионных протоколов (FTP - две TCP сессии на 21 порт и с 20 порта, или PPTP - TCP на 1723 и GRE поток)

Так что все было правильно написано!

KDFS

Guest

#33

Это нравится:0 Да/0 Нет

09.09.2005 12:38:02

"А так ли крут тот бэтмэн?" (см.посты в начале статьи).И не только одни кошки дырявые.
Например, ADSL-роутер от д-линк (сойдет за упомянутый в начале железяк?) я вполне себе научился валить(правда, сугубо из интранета).Если качественно и мощно флудануть из интранета тонной TCP конекций и запросов DNS - он честно слетает от такого злодейства на дефолты(видимо попутно ребутясь).При этом правда хацкер останется без инета и даже без пароля от инета :funny: но поглумиться над девайсом может как угодно поюзав дефолтный логин\пасс (можно фирмварь другую влить, что-то самопальное настроить, ...).Не знаю все ли версии фирмвари на это покупаются но та которая у меня - с такой вот дырой.Кстати кому не впадлу заколотите в багтрек
Software Version V1.00B02T02.RU.20041229.Может и другие версии дырявые, хз не проверял.

Amin

Guest

#34

Это нравится:0 Да/0 Нет

09.09.2005 12:53:25

Ближе к телу :
Есть такая конфа :
Win 98 ОЧЕНЬ_СИЛЬНО_98LITE,
соответственно про IE, OE и прочую хню забудьте сразу - нет даже их родных каталогов. Из системы убит VB / VBA (del *VB*.*),
так что макровирусы и WSH не предлагать.
OutPost 2.7, невидимость, без NETBIOS, JS и Cookies разрешены буквально паре сайтов, это максимум.
Доверенных приложений нет, все дефолтные проги в Запрещенных, пользовательских ровно три :
Total CMD 6.03 as FTP Client
Opera 8.01 as Browser and IRC Client and MailClient
Miranda 0.4 as ICQ Client.
Все это хозяйство дополнительно сдобрено неслабыми блок-листами анти-рекламы и оттвикано.
В Опере по дефолту вырублено все, кроме GIF-анимации.
Для всех бинарных файлов подсчитаны MD5-хеши, файлы с которыми подписаны моим PGP-ключом, который обычно лежит на кривом PGP-диске.
Задача - найти и скопировать мою адресную книгу.
Любые Ваши идеи приму с благодарностью.

^rage^

Guest

#35

Это нравится:0 Да/0 Нет

09.09.2005 16:13:57

Цитата
Для справки: UDP и ICMP не бывают ни ESTABLISHED, ни RELATED. Как ни как - протоколы без установления соединений. Для них нужны отдельные правила.

хм... делаем так:

Цитата
hping -I ppp0 -i u100 -1 --rand-dest x.x.x.x

и смотрим в /proc/net/ip_conntrack :

Цитата
icmp 1 23 src=195.242.17.8 dst=173.178.181.113 type=8 code=0 id=50528 packets=1 bytes=28 [UNREPLIED] src=173.178.181.113 dst=195.242.17.8 type=0 code=0 id=50528 packets=0 bytes=0 mark=0 use=1

потом:

Цитата
hping -I ppp0 -i u100 -2 --rand-dest x.x.x.x

и смотрим в /proc/net/ip_conntrack :

Цитата
udp 17 29 src=195.242.17.8 dst=123.200.173.14 sport=2641 dport=0 packets=1 bytes=28 [UNREPLIED] src=123.200.173.14 dst=195.242.17.8 sport=0 dport=2641 packets=0 bytes=0 mark=0 use=1

Гость Guest	#36 Это нравится:0 Да/0 Нет 09.09.2005 16:28:42 От угроз ничто спасти не может. Ни одна софтина, ни комплекс софта в купе с железом.

Guest

#37

Это нравится:0 Да/0 Нет

09.09.2005 23:39:47

2^rage^

>хм... делаем так:
>и смотрим в /proc/net/ip_conntrack

Хорошо, conntrack подсистема netfilter зачем-то ведет учет ICMP и UDP пакетов.

Научи уму-разуму, расскажи, пожалуйста, какие UDP пакеты попадут под правило state ESTABLISHED, а какие нет. Для DNS еще можно представить (там хоть ответ предполагается), а как быть с односторонними потоками, типа NetFlow?

^rage^

Guest

#38

Это нравится:0 Да/0 Нет

10.09.2005 05:26:10

Цитата
Научи уму-разуму, расскажи, пожалуйста, какие UDP пакеты попадут под правило state ESTABLISHED, а какие нет.

ответ: все. для udp & icmp состояние игнорируется и в данном случае просто выполняется ACCEPT.
Если не веришь, добавь icmp & udp в raw таблицу, чтобы отключить для них conntrack.

^rage^

Guest

#39

Это нравится:0 Да/0 Нет

10.09.2005 05:31:28

Цитата
OutPost 2.7, невидимость, без NETBIOS, JS и Cookies разрешены буквально паре сайтов, это максимум.

на днях у знакомого outpost качнул апдейтов и на машинке отвалился tcp/ip.

~S/E/r/G~ Guest	#40 Это нравится:0 Да/0 Нет 10.09.2005 12:24:02 жалко переводчика=) зря время потратил на каких-то "Израэлей"

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?

Программные межсетевые экраны: огненная стена или соломенная ширма? Ча

Подпишитесь на email рассылку