stateful firewall issues (Was Re: Think Simple!)
george
zakinthinos at freemail.gr
Fri Sep 8 11:12:31 EEST 2006
Giorgos Keramidas wrote:
>
>>Giorgos Keramidas wrote:
>>
>
> Ακριβώς.
>
> Πώς είναι ο _ακριβώς_ αντίστοιχος κανόνας για INPUT κατεύθυνση
> (οι διαφορές είναι ότι λείπει το 'NEW' και δεν είναι μόνο
> $PPP_LOCAL πλέον το source address):
>
> iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
>
> Βλέπεις τίποτα για ``--dport 1024:'' εδώ; Οχι. Γιατί;
>
> Για να σε βοηθήσω, το connection tracking θα παίξει σωστά ακόμα και
> χωρίς το ενοχλητικότατο ``--dport 1024:'', αφού ο τρόπος με τον οποίο
> γίνεται η αντιστοιχία ενός εισερχόμενου πακέτου σε υπάρχουσα σύνδεση
> είναι ακριβώς ο ίδιος είτε το destination port number είναι >= 1024 είτε
> όχι. Ο τρόπος αυτός περιγράφεται, αν σε ενδιαφέρει τόσο πολύ το θέμα,
> στο Netfilter-Hacking-HOWTO:
>
> http://www.netfilter.org/documentation/HOWTO//netfilter-hacking-HOWTO.html
>
ξαναγυριζοντας στην αρχικη ερωτηση "τι θεωρεις τρυπα
ασφαλειας" θα απαντησω οτι τρυπα ασφαλειας ειναι
και το malformed (intended or not) πακετο απο εναν
www server τον οποιον εχει επιλεξει ο χρηστης μεσω
του browser και επομενως ανηκει στις
ESTABLISHED,RELATED συνδεσεις που αποτελουν το 80%
των συνδεσεων μας
εκει λοιπον που εσυ στο ``--dport 1024:'' βλεπεις
τις υπολοιπες 64510 ports εγω βλεπω οτι τουλαχιστον
ο remote www server δεν θα εχει access στις 0-1023
privilidged ports, το προβλημα exploitation των
bugs των iptables εγκειται σε αυτες ακριβως τις
'εσωτερικες' ESTABLISHED,RELATED connections
ας μην ξεχναμε οτι το 80% της χακιας προερχεται απο
το εσωτερικο μιας επιχειρησης , π.χ υπαλληλος
μεγαλης τραπεζας που αποφασισε να κανει ηλεκτρονικη
"αναληψη" ωστε να βοηθησει τα εγγονια που θα κανει
στο μπουενος αιρες
το ποσο θελουμε να τον πιασουμε εξαρταται βεβαια
απο το ποσα θα μας δωσει η τραπεζα μεσω του
καρτοδανειου μας
γιωργος
____________________________________________________________________
http://www.freemail.gr - δωρεάν υπηρεσία ηλεκτρονικού ταχυδρομείου.
http://www.freemail.gr - free email service for the Greek-speaking.
More information about the Linux-greek-users
mailing list