On Mon, Jul 22, 2002 at 12:35:21AM +0200, Paco wrote: > > Z mého pohledu (v Linuxu) se dá nastavit port na DENY (asi neviditelný) > > nebo na REJECT (ve Windows nejspíš zavřený). V konečném důsledku to znamená > > totéž: Služba je nepřístupná. DENY se jeví lepší proti scannerům, protože > > se dozví chybu až se značným timeoutem proti REJECT, ale v konečném důsledku > > je to stejné. Služba není dostupná. > > Nerekl bych, ze je to stejne. Z hlediska vnejsiho utocnika > rozhodne ne. Nemam ted cas se rozepisovat, tak sem pastnu > aspon trochu podrobnejsi vysvetleni v en. :) > pako Paco. > > STEALTH - if all of the tested ports were shown to have stealth > status, then for all intents and purposes your computer doesn't exist > to scanners on the Internet! > > CLOSED is the best you can hope for without a stealth firewall in place. > Anyone scanning past your IP address will immediately detect your PC, > but "closed" ports will quickly refuse connection attempts. Potvrdil jsi mi, že STEALTH=DENY a CLOSED=REJECT a že je to tak, jak jsem napsal: STEALTH - žádná odpověď - černá díra, mrtvý brouk CLOSED - oznámí protistraně, že port je zavřený Stejné to není, ale pokud máš všechny porty zvenku CLOSED, je to stejně bezpečné, jako STEALTH. Pro ty, kteří mají počítaná data je však zajímavější STEALTH, protože tento přístup částečně také chrání před SYN floodingem. Pokud máš ve firewallu díru, nastavení STEALTH útočníkovi prodlouží odezvu a je pravděpodobnější, že to brzy vzdá. Proti sweepingu to však nefunguje. Nejbezpečnější se jeví zahození všech příchozích SYN paketů. Útočník tak nemůže navázat spojení, ale pro data je firewall normálně průchozí. Data, která nejsou platná a přitom projdou, zahodí správa socketů. Tato ochrana však funguje jen na spojení TCP. Na UDP, ani ostatní nestavové, neplatí. Kit -- Ing. Vlastimil Pospíchal http://www.hoteldrnholec.cz
This archive was generated by hypermail 2.1.2 : 22. 07. 2002, 07:44 CEST