_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alex Korchmar 2:5020/28.101 27 Nov 98 03:30:54
Subj : Re: Linux as firewall
________________________________________________________________________________
Tim Kutergin <tim@inforis.ru> wrote:
>> Вопрос, собственно, риторический. Я более чем уверен, что ты имеешь,
>> фактически, сплошную дыру.
TK> Я думаю, на Linux можно создать практически непрошибаемый извне
TK> firewall уровня application proxy, несмотря на наличие дырок в некоторых
я тоже так думаю. Hо я _умею_ это делать. А тот, кому я писал - скорее
всего, нет.
TK> сервисах. Зарубается IP-forwarding. Зарубаются входные соединения. Явно
TK> разрешаются только клиентские соединения к Internet. Ставится набор
TK> необходимых посредников - SQUID,TIS,SOCKS и т.п. Как можно что-то
блям.
TK> взломать, если на любую попытку получаешь "connection refused" ? Остается
найти очередную, 1024-ю, дыру в squid, или, еще проще, в его настройках.
Влезть на эту машину, хоть юзером nobody, поиметь рута (пять минут для
среднеламерской системы и кульхакера, столь крутого, что он даже умеет
набрать www.rootshell.com [т.е. уже окончившего третий класс начальной
школы]) поставить снифферов и какой-нибудь rootkit, поиметь пароли на
юзерские тачки. (для запуска крэкера очень удобно использовать эту самую
машину с линуксом) Подсунуть Bo. Поиметь всю остальную сеть. Употребить
все тот же линукс для сканирования портов у следующих лохов - если они
окажутся не совсем лохами, то, по крайней мере, ловить и давить дружно
кинутся не хакера, а того, кого он поимел.
Указанный сценарий имеет скверную привычку реализовываться в жизни.
Разумеется, можно как следует настроить сквид, можно вовремя сапгрейдить
намед, можно пускать их с chroot, можно хоть pwconv пускать в
свежепоставленном redhat'е (что там, 60% установленнных линуксов не
имеют shadow? Hю-ню!) Hу да, можно.
А можно просто настроить как следует виндузячью сетку, и лазить через
wingate (тоже как следует настроенный). Причем среднему чайнику проще
именно второе. Hо почему-то все они убеждены, что у них получится первое.
>> Больше толку было бы от NT с MS Proxy на этом месте.
TK> Hу-ну. Только еще такого глюка с кучей недокументированных функций
TK> еще в интернете и не хватает.
сколько тебе известно случаев "security compromise" систем на базе NT
с MS Proxy server ? Подозреваю, ноль.
Мне известны по крайней мере три случая с линуксами. (когда я говорю "по
крайней мере", я имею в виду, что остальные я не могу даже с уверенностью
определить как таковые. Спасибо гениальной системе убивания логов имени
красной кепки на пустом жбане.)
Меня нимало не утешает факт, что ни один из этих линуксов не настраивал я.
TK> И как ты ее взломаешь ? Если любое соединение выдает "connection
TK> refused" ?
named у тебя, скажем, есть? А какой версии? А откуда чайнику это знать?
Только ли на eth0 слушает твой сквид? А откуда [..]?
Для контроля за работой сквида предполагается использовать cachemgr.cgi.
вопрос: сколько чайников именно его и используют и у скольких из них при
этом образуется смотрящий в интернет апач, при наличии в /cgi-bin дырявых
скриптов, входящих в комплект поставки?
>> AK>> по-моему, нет. В частности, ты явно не понимаешь, что наличие линукса
>> AK>> с прямым подключением к интернет и есть основная угроза безопасности.
>> AK>> Все остальные, по сравнению с этой - минимальны.
TK> Hу ни фига себе ! Что, так трудно защитить свою машину пакетными
TK> фильтрами и tcp-wrappers, отключить ненужные сервисы и поставить
TK> non-executable stack patch ? Конечно, 100% защиты все равно не получить,
об этом надо _знать_. Причем именно самому, а не от меня или тебя услышать
краем уха - иначе получится _иллюзия_ безопасности, потому что о чем-то
совершенно очевидном сказать ты забудешь.
TK> но неужели такая дыра как NT в интернет вызывает меньше опасений ?
покажи пожалуйста конкретную дыру. Хоть одну. DoS попрошу не показывать,
мне известно их не меньше и в линуксе.
TK> Пакетные фильтры не являются наиболее надежным видом firewall.
с пакетных фильтров любой файрволл начинается.
Иначе к нему придут в гости, просто подсунув спуфнутый адрес.
TK> Сервера-посредники более надежны и предоставляют дополнительные
TK> возможности типа кеширования. Да и глюков поменьше, чем при NAT.
а еще они предоставляют дополнительную возможность посадить плюху.
Массу дополнительных возможностей.
> Alex
--- ifmail v.2.14.os-p2 * Origin: Down System -2 (2:5020/28.101@fidonet)
