Re: Re: firewall (ipfw: static, stateful)
michal sjx
michal_sjx at seznam.cz
Wed Mar 31 17:51:46 CEST 2010
> A co se tyce nekym jinym zmineneho "bude utocit z jedne IP a tak to lze
> limitovat poctem spojeni na IP" - hloupy utocnik mozna. Ale odeslani
> odchoziho SYN paketu s libovolnou zdrojovou IP je velmi trivialni ukon.
>
> Na druhou steranu je pravda, ze na male siti 256 adresami mame 32
> spojeni na IP, coz je spis dostatecne a tak vhodne zvoleny limit pomoci
> muze.
>
> To ale znamena jen tolik, ze nenarazime na defaultni limit 8192 polozek
> dynamickeho firewallu - utocnik se misto toho proste jen zameri na
> vycerpani "per IP" limitu spojeni a sit zablokuje uplne stejne
> spolehlive ...
>
ipspoof by mely zase resit jine prvky v siti. Podvrhnuti adresy je bud chyba nastaveni nebo utok, takze by se s tim mela sit vyporadat zablokovanim daneho portu na switchi nebo alespon blokovani mac adresy. Na default-gw by se takove packety nemely uz vubec dostat.
Michal
More information about the Users-l
mailing list