Jakub Wartak <vnull@4web.pl> wrote in
news:ecao0l$t08$1@atlantis.news.tpi.pl:
> Borg wrote:
>
>> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
>> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
>> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
>
> No dobra zakladamy ze jest NAT. Jak jest NAT to musi byc jakis
> connection-tracking. Jezeli jest to w zasadzie mozna zalozyc ze kazde
> nowe polaczenie TCP o fladze innej niz TCP_SYN bedzie dropniete. Wiec
> odpadaja NULL|XMAS|FIN-skany itd.
>
Ale dlaczego chcesz to dropowac? Niech zaloguje.. to tylko jeden maly wpis
a potem mozna przegladac np po fakcie co ktos kombinowal.
> Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek
> wiekszy operator dawal prywatne IP, bo istnieja setki protokolow ktore z
> NATem zbyt dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
> firm/organizacji.
>
Nawet wogole nie jest fajny. Niema zalet, poza jedna ze oszczedzamy adresy
IP. To wszystko. Jaka roznica czy organizacja ma statefull firewall dla
userow czy NAT? Zadna.. A widzac jak rozdaja IPv6 to ciemnosc widze.. ot
co.. Ale robi sie juz NTG ;)
stare ale jare: http://www.benet.uu3.net/fun/rfc1606.txt
Ciekawe ze juz wtedy gosc mial wizje.. prorok jak dla mnie ;)
> Trzy: Logowanie wszystkiego to jakas mrzonka, o ile jeszcze logowanie
> src_ip(przed natem), src_port(przed i po nacie), dst_port, dst_ip + czas
> jest do zrealizowania, to jakos sobie nie wyobrazam technicznie zeby
> jakikolwiek router agregujacy DSLAMy robil to na jakimkolwiek
> zadawalajacym poziomie (ASIC ?)
>
Ale po co operator dajacy publiczne IP ma cos logowac? Wiem wiem.. jeszcze
jest sprawa spoof'a.. Bo np trzeba udowodnic klientowi ze faktycznie to on
wysylal.. Ale to juz inna bajka..
> Cztery: identd sie nie sprawdza bo malo ktora app. z tego korzysta (
> chyba juz tylko irc ? ).
>
Zalezy od ustawien.. telnetd potrafi sprawdzac.. sshd.. ftpd ;) Ale
faktycznie w dzisiejszych czasach przydaje sie tylko do IRCa :)
> Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
> komputera i projektant aplikacji sobie tylko zaloguje
> $_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
> do /dev/null.
>
> Przyklad ?? Apache:
> 81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
> i gdzie tutaj src_port ?
>
No i tylko po dacie mozna jechac... Jesli gosc nie przedstawia logow w
ktorych czas jest zsynchronizowany to na drzewo z takim logiem, bo nie
przedstawia zadnej wartosci. A my chronimy klienta puki na 99.99% dowody
nie beda wskazywac na niego.
Received on Mon Aug 21 20:55:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 21 Aug 2006 - 21:40:02 MET DST