Re: Re: firewall (ipfw: static, stateful)

michal sjx michal_sjx at seznam.cz
Wed Mar 31 17:51:46 CEST 2010


> A co se tyce nekym jinym zmineneho "bude utocit z jedne IP a tak to lze 
> limitovat poctem spojeni na IP" - hloupy utocnik mozna. Ale odeslani 
> odchoziho SYN paketu s libovolnou zdrojovou IP je velmi trivialni ukon.
> 
> Na druhou steranu je pravda, ze na male siti 256 adresami mame 32 
> spojeni na IP, coz je spis dostatecne a tak vhodne zvoleny limit pomoci 
> muze.
> 
> To ale znamena jen tolik, ze nenarazime na defaultni limit 8192 polozek 
> dynamickeho firewallu - utocnik se misto toho proste jen zameri na 
> vycerpani "per IP" limitu spojeni a sit zablokuje uplne stejne 
> spolehlive ...
> 

ipspoof by mely zase resit jine prvky v siti. Podvrhnuti adresy je bud chyba nastaveni nebo utok, takze by se s tim mela sit vyporadat zablokovanim daneho portu na switchi nebo alespon blokovani mac adresy. Na default-gw by se takove packety nemely uz vubec dostat.

Michal


More information about the Users-l mailing list