[Uneex] вопрос по фаерволлу

Sergey Gladilin glad на westra.ru
Вт Фев 3 14:00:03 MSK 2004 

Добро!

>> а чем конкретно лучше с точки зрения безопасности? То, что так проще
>> запретить юзверям качать порнуху я понимаю :-)
> Ну хотя бы ты закрываешь потенциальные дырки в реализации протоколов у
> пользователя. И можно проконтролировать, что там пойдет именно тот
> протокол, что ожидал юзер, а не что-то другое.
понял

>>>- потому что тяжело написать прокси для всех мыслимых протоколов,
>>>  учитывая, что многие из них вообще не подразумевают проксирования
>> но Cisco написала?
> Ну не на все же. Я думаю, что в доках на PIX есть описание того, что он
> проксирует. Вот скажи мне, как можно спроксировать произвольное
> TCP-соединение? Разве только порвать и переоткрыть его, гоняя байтики в
> обе стороны. И то не факт, что по нему не пойдте информация о другом
> соединении(как в FTP), которую тоже надо поправить.
ну, говорят, они, например, DNS приксируют, причем подправляют в нем
данные в соответствии с IP-маскарадингом :-) Ясно, ищем документацию на
PIX...

> Ну эта, FTP тоже прозрачно проксируется, NAT опять же есть. Например,
> natd от FreeBSD знает некоторое количество протоколов, и транслирует их
> вполне прозрачно.
А что кроме FTP он знает?

> Что ты понимаешь под атакой сетевого уровня?
Некооректно я высказался. Хотел сказать - не ниже сетевого уровня...

> Винду в свое время можно
> было уложить определенным ICMP-пакетом. Т.е. нужно посмотреть как
> минимум содержимое заголовков ICMP, что уже следующий уровень.
> Опять же, вирусы всякие и черви существуют, которых так просто пакетным
> фильтром не поймаешь.
т.е. система, отлавливающая 1000 известных видов атак - это комбинация
антивируса с базой данных ошибок реализации сетевых стеков у клиентов?
А open source такие есть? А кто-нибудь использует?

> Ну плюс еще есть системы, которые отлавливают подзрительную активность,
> а ты уже сам потом решаешь, что это было (тот же snort, например).
Спасибо, про snort найду и почитаю


C уважением,
                                Сергей Гладилин
                                glad на westra.ru

Подробная информация о списке рассылки Uneex