On Sun, 11 Dec 2005 12:26:06 +0100, Michal Biek wrote:
> Piotr Smerda log:
> [...]
>> A niby to czemu? Sądzisz, że proste sprzętowe firewalle bez IDSa bedą
>> analizować to co w pakietach przychodzi? Poza tym nawet jeśli
>> analizowałyby to przeciez w polu DATA pakietu TCP możesz umieścić
>> dowolne dane - nawet zaszyfrowane. FTP z TLS nawet większość IDSów
>> przepuści.
> Komunikacja FTP client-server musi być nawiązana na określonych portach.
> Przekierowanie z FTP na siakiś Terminal service na inne porty i protokoły
> wymaga jak sam stwierdziłeś implementacji programowej. Nie mając tego po 1 i
> 2 stronie nawiązanie takiego kombinowanego połączenia nie będzie możliwe.
> Firewall może i przepuści, ale zabezpieczenia systemowe nie pozwolą
> uruchomić usługi, tym bardziej, że server może jej nie mieć po prostu
> włączonej.
A co jedno drugiemu przeszkadza? Ja sobie mogę uruchomić FTP na porcie np
4000/4001 lokalnie. A usługa słuchająca na portach 20/21 może mi
odpowiednio ruch przekierowywać po tym jak się "dowie" że to ma być FTP.
Jeśli usługa "dowie" się, że to ma być Terminal Services to przekieruje mi
połączenia na port 3389. I tyle.
Nie wiem o jakich zabezpieczeniach systemowych mówisz ale chyba nie bardzo
się rozumiemy.
Cały czas piszę o tym, że należałoby taką usługę zaimplementować co oznacza
również że należałoby stworzyć odpowiedniego klienta, który "informowałby"
usługę o tym co ma się dziać. Vide para knockd i knock. To też jest
niestandardowa usługa a robi przeróżne rzeczy z systemem. Wszystko zależy
od tego kto konfiguruje i wdraża dane rozwiązanie.
-- PiotrekReceived on Sun Dec 11 12:55:25 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 11 Dec 2005 - 13:42:02 MET