Limiting closed port RST

Liquid liquid at liquid.cz
Tue Feb 4 16:23:29 CET 2003


> Pav Lucistnik wrote:
> >> Scanovani portu, neni-li delano jako bezpecnostni scan ve prospech
> >>spravce scanovaneho pocitace je uzivanim, ke kteremu zadny dobry duvod
> >>ani explicitni souhlas neni a ve vetsine pripadu neni vedeno ani dobrym
> >>umyslem a v dobre vire. "V poradku" to rozhodne neni.
> >
> >
> > Tady by se dalo dlouze a bezvysledne polemizovat, takze toho asi
> > nechame. Muze se vam to i nelibit, ale ja na tom opravdu nevidim nic
> > odsouzenihodneho. Kdyz uz jste svuj pocitac pripichnul na otevrenou sit
> > jako je Internet, musite cekat ze nekdo bude "zvedavy"...
>
> No, ja se nedomnivam, ze bychom meli povazovat za "v poradku" kdyz
> nekdo pouziva vec, byt' verejne dostupnou, k necemu, k cemu zverejnena
> nebyla - to smerujeme k tomu, ze budeme povazovat za "v poradku" SPAM
> (kdyz mam emailovou schranku, nemohu mit nic proti tomu, ze mi nekdo
> pise) a, pokud opustime oblast IT, pak je "v poradku" kdyz si kdokoliv
> odnese z parku lavicku - vzdyt byla na verejne dostupnem miste, takze se
> nelze divit, ze si ji nekdo odnesl a je to take v poradku. To je takovy
> trochu socialisticky manyr, ze to co je verejne patri "vsemu lidu" a tak
> si s tim kazdy clovek muze delat naprosto co ce - a ja se domnivam, ze
> to neni vhodny pristup k veci. Nicmene, to je vec "svetonazoru" a jak
> sam rikate, vec k bezvysledne diskusi, protoze takovehle veci se
> vydiskutovat nedaji a i kdyby to slo, pak souhlasim, ze tohle patrne
> neni nejvhodnejsi forum, takze toho tady opravdu necham.
>
> > No me to muze byt konec koncu jedno :) ale co mi opravdu vadi je
> > omezovani funkcionality ve jmenu "bezpecnosti". Napriklad v posledni
> > dobe se dost rozsiruje mores blokovani icmp echo paketu (traceroute) a
> > to i u velkych ISP... docela me to vytaci. Neni to proti standardum?
>
> No, jenze to o cem mluvis je prave nasledek toho pohledu na problem,
> ktery prosazujes. Pripadu zneuzivani diagnostickych nastroju k jinym
> ucelum by bylo mene (a tedy tlak na zamezeni by byl mensi), kdyby se
> takove zneuzivani nepovazovalo za "normalni". Zablokovane ICMP je primym
> nasledkem toho, ze slusnost a ohleduplnost povazujes za nepovinny
> "nadstandard". Nicmene, skutecne toho necham. Pokracovat muzeme
> soukrome, i kdyz to tezko prinese nejake zajimave vysledky.
>
> Jo - nmap jsem i ja proti cizimu pocitaci v nekolika pripadech spustil.
> Jako dite jsem dokonce ukradl v samoobsluze cokoladu - ale neodvazoval
> bych se na zaklade toho, ze jsem to udelal dovodit, ze je to "normalni"
> a "v poradku".
>
>
>  >>umyslem a v dobre vire. "V poradku" to rozhodne neni.
>
>  > ¨
> Liquid wrote:
>  > Zastavam stejny nazor a proto se zaimam jak tuto cinnost cizim lidem
>  > znemoznit.
>  > Zakazovat IP? Aby na tyhle IP neodpovidal?
>
>
> Ano, je asi nejrozumenejsi se od flamewar vratit k FreeBSD a technickym
> aspektum problemu.
>
> Znemoznit to tem lidem muzes jen tezko - o tom, ze nejaky paket vyslali
> se dozvis teprve v okamziku, kdy ho dostanes a v tom okamziku jiz nelze
> jeho vyslani zabranit. Dokonce i kdyz IP zablokujes, nezabranis tomu,
> aby ty pakety nadale prichazely, nemluve o tom, ze zdrojova IP je snadno
> zfalsovatelna, takze nejake automaticke blokovani otevira cestu DoS
> utoku. Zabranit tomu muzes jen tak, ze si postezujes tomu, kdo to dela,
> nemo tomu, kdo mu zajistuje pripojeni - uspesnost takovych stiznosti ale
> neni velka. Jak uz jsem napsal, ja na nezadouci pakety odpovidam
> prislusnym ICMP oznamujicim, ze si takove pakty nepreji. To sice
> vyvolava urcite zatizeni linky i v opacnem smeru, ktere by nevzniklo,
> kdybych pakety proste zahazoval, na druhou stranu, z praxe se mi zda, ze
> pokud aktivne na pakety odpovidam, vetsina scanovacich programu na to
> zareaguje (kdezto kdyz pakety zahazuji predpoklada, ze se mohl ztratit a
> posle jej nekolikrat znovu) - takze celkovy efekt "odpovidani" na
> zatizeni linky je spise kladny.

Jak sjem jiz napsal. Souhlasim s tebou.
Dekuji Vam panove za pomoc a rozebrani tematu.
Nyni bych potreboval konkretne poradit jak echnicky zabezpecit to, aby muj
IPFW
neodpovidal na ICMP krom mnou specifikovane IP.

Diky.

Liquid




More information about the Users-l mailing list