Sa ne reamintim de unde a plecat discutia:
Este NAT necesar in contextul IPv6 ?
On 06.02.2011 21:10, Dan Borlovan wrote:
> Daca din start primesti ip public nu mai apuci sa-ti pui un antivirus
> sau update-urile si deja esti spart. Ce te faci cu asta si utilizatorii
> casnici care nu au diploma de sysadmin?
Utilizatorii casnici care nu au diploma de sysadmin si in ziua de azi
(IPv4) au adresa "publica" de la ISP. Daca sunt un pic mai evoluati si
au router au NAT, dar la fel de bine acel router in loc de nat poate
avea filtering dupa cum am spus. NAT-ul _per se_ nu ii ajuta cu nimic.
>
> Din acelasi motiv si la fel de gresite sint
> - filtratul la provider a porturilor 135:139 si 1433
> - nepermisa iesirea pe portul 25 decit spre mailserver (si totusi
> eficienta si te scuteste de a intra in tot soiul de rbl-ul din care e
> greu sa iesi)
Astea intra in partea de filtering cu care sunt absolut de acord.
Deci oricum ISP-ul filtreaza 139, la ce ii mai ajuta NAT-ul ? :)
> - any kind of mail tampering - si totusi toata lumea are antivirus si
> antispam pe mailserver
Ce treaba are mail tampering cu antivirus sau antispam ?
Sau inteleg eu altceva prin "mail tampering".
> - ssh pe alt port decit 22 - si totusi scannerele automate cauta doar
> portul 22
> - soafte cunoscute in alte cai decit cele standard (tot botii te cauta
> de /phpmyadmin /forum si alte 10 url-uri standard)
Astea intra in partea de "security by obscurity" cu care nu mai sunt de
acord. De ce ar vrea lumea so foloseasca soafte insecure este peste
puterile mele de intelegere (si cand spui de phpmyadmin & friends nu mai
suntem in domeniul "home user"). Iar ssh-ul l-am avut intotdeauna pe 22.
Faptul ca "oh, ah, I R so secure, le am in alta parte decat s-ar uita
cineva" nu induce decat un fals sentiment de siguranta care te impiedica
sa faci lucrurile cum trebuie pana la capat ("lasa ca nu-l gaseste, nu
mai stau sa faci si filtering sau hardening sau vulncheck").
Dar deja ne indepartam de la subiect (chiar daca NAT are un pic de
"security by obscurity" in el) :))
> Si totusi desi sint doar piedici pentru kiddies si spamboti ajuta mult
Da, ajuta. Impotriva kiddies si spambots.
Nu si daca cineva chiar vrea sa se joace cu tine.
> Normal ca exista o gramada de vectori de atack la un click distanta si
> nu poti proteja complet pe nimeni dar asta nu e un motiv sa nu faci
> nimic pentru ca nu e tehnic the right way
Nu voiam sa spun sa nu se faca nimic. Dimpotriva.
Voiam sa spun doar ca falsele raspunsuri (gen "NAT as firewall") nu
ajuta chiar asa cum ne inchipuim si nu fac decat sa induca o suficienta
periculoasa, tocmai pentru ca nu sunt "tehnic the right way".
Cioby
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
