Borg wrote:
> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
No dobra zakladamy ze jest NAT. Jak jest NAT to musi byc jakis
connection-tracking. Jezeli jest to w zasadzie mozna zalozyc ze kazde nowe
polaczenie TCP o fladze innej niz TCP_SYN bedzie dropniete. Wiec odpadaja
NULL|XMAS|FIN-skany itd.
Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek wiekszy
operator dawal prywatne IP, bo istnieja setki protokolow ktore z NATem zbyt
dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
firm/organizacji.
Trzy: Logowanie wszystkiego to jakas mrzonka, o ile jeszcze logowanie
src_ip(przed natem), src_port(przed i po nacie), dst_port, dst_ip + czas
jest do zrealizowania, to jakos sobie nie wyobrazam technicznie zeby
jakikolwiek router agregujacy DSLAMy robil to na jakimkolwiek zadawalajacym
poziomie (ASIC ?)
Cztery: identd sie nie sprawdza bo malo ktora app. z tego korzysta ( chyba
juz tylko irc ? ).
Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
komputera i projektant aplikacji sobie tylko zaloguje
$_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
do /dev/null.
Przyklad ?? Apache:
81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
i gdzie tutaj src_port ?
-- Jakub Wartak http://vnull.pcnet.com.pl/Received on Mon Aug 21 00:35:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 21 Aug 2006 - 00:40:01 MET DST