Limiting closed port RST
Dan Lukes
dan at obluda.cz
Tue Feb 4 16:00:04 CET 2003
Pav Lucistnik wrote:
>> Scanovani portu, neni-li delano jako bezpecnostni scan ve prospech
>>spravce scanovaneho pocitace je uzivanim, ke kteremu zadny dobry duvod
>>ani explicitni souhlas neni a ve vetsine pripadu neni vedeno ani dobrym
>>umyslem a v dobre vire. "V poradku" to rozhodne neni.
>
>
> Tady by se dalo dlouze a bezvysledne polemizovat, takze toho asi
> nechame. Muze se vam to i nelibit, ale ja na tom opravdu nevidim nic
> odsouzenihodneho. Kdyz uz jste svuj pocitac pripichnul na otevrenou sit
> jako je Internet, musite cekat ze nekdo bude "zvedavy"...
No, ja se nedomnivam, ze bychom meli povazovat za "v poradku" kdyz
nekdo pouziva vec, byt' verejne dostupnou, k necemu, k cemu zverejnena
nebyla - to smerujeme k tomu, ze budeme povazovat za "v poradku" SPAM
(kdyz mam emailovou schranku, nemohu mit nic proti tomu, ze mi nekdo
pise) a, pokud opustime oblast IT, pak je "v poradku" kdyz si kdokoliv
odnese z parku lavicku - vzdyt byla na verejne dostupnem miste, takze se
nelze divit, ze si ji nekdo odnesl a je to take v poradku. To je takovy
trochu socialisticky manyr, ze to co je verejne patri "vsemu lidu" a tak
si s tim kazdy clovek muze delat naprosto co ce - a ja se domnivam, ze
to neni vhodny pristup k veci. Nicmene, to je vec "svetonazoru" a jak
sam rikate, vec k bezvysledne diskusi, protoze takovehle veci se
vydiskutovat nedaji a i kdyby to slo, pak souhlasim, ze tohle patrne
neni nejvhodnejsi forum, takze toho tady opravdu necham.
> No me to muze byt konec koncu jedno :) ale co mi opravdu vadi je
> omezovani funkcionality ve jmenu "bezpecnosti". Napriklad v posledni
> dobe se dost rozsiruje mores blokovani icmp echo paketu (traceroute) a
> to i u velkych ISP... docela me to vytaci. Neni to proti standardum?
No, jenze to o cem mluvis je prave nasledek toho pohledu na problem,
ktery prosazujes. Pripadu zneuzivani diagnostickych nastroju k jinym
ucelum by bylo mene (a tedy tlak na zamezeni by byl mensi), kdyby se
takove zneuzivani nepovazovalo za "normalni". Zablokovane ICMP je primym
nasledkem toho, ze slusnost a ohleduplnost povazujes za nepovinny
"nadstandard". Nicmene, skutecne toho necham. Pokracovat muzeme
soukrome, i kdyz to tezko prinese nejake zajimave vysledky.
Jo - nmap jsem i ja proti cizimu pocitaci v nekolika pripadech spustil.
Jako dite jsem dokonce ukradl v samoobsluze cokoladu - ale neodvazoval
bych se na zaklade toho, ze jsem to udelal dovodit, ze je to "normalni"
a "v poradku".
>>umyslem a v dobre vire. "V poradku" to rozhodne neni.
> ¨
Liquid wrote:
> Zastavam stejny nazor a proto se zaimam jak tuto cinnost cizim lidem
> znemoznit.
> Zakazovat IP? Aby na tyhle IP neodpovidal?
Ano, je asi nejrozumenejsi se od flamewar vratit k FreeBSD a technickym
aspektum problemu.
Znemoznit to tem lidem muzes jen tezko - o tom, ze nejaky paket vyslali
se dozvis teprve v okamziku, kdy ho dostanes a v tom okamziku jiz nelze
jeho vyslani zabranit. Dokonce i kdyz IP zablokujes, nezabranis tomu,
aby ty pakety nadale prichazely, nemluve o tom, ze zdrojova IP je snadno
zfalsovatelna, takze nejake automaticke blokovani otevira cestu DoS
utoku. Zabranit tomu muzes jen tak, ze si postezujes tomu, kdo to dela,
nemo tomu, kdo mu zajistuje pripojeni - uspesnost takovych stiznosti ale
neni velka. Jak uz jsem napsal, ja na nezadouci pakety odpovidam
prislusnym ICMP oznamujicim, ze si takove pakty nepreji. To sice
vyvolava urcite zatizeni linky i v opacnem smeru, ktere by nevzniklo,
kdybych pakety proste zahazoval, na druhou stranu, z praxe se mi zda, ze
pokud aktivne na pakety odpovidam, vetsina scanovacich programu na to
zareaguje (kdezto kdyz pakety zahazuji predpoklada, ze se mohl ztratit a
posle jej nekolikrat znovu) - takze celkovy efekt "odpovidani" na
zatizeni linky je spise kladny.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list