-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Monday 17 March 2003 10:25, Valkai Elod wrote:
> > Taiatul porturilor din firewall-ul este ultimul pas din securizarea unei > > masini. > > de. acord. 100%. mai nou nici nu mai pun iptables ca nu prea are rost. > > Are rost iptables pe servere pe care stii ce ruleaza?! E o intrebare > serioasa, sunt interesate de parerile voastre. Personal nu ma mai obosesc > sa pun iptables pe masini pe care ruleaza pop3/imap, smtp & other stuff si > pe care le administrez eu. Necesitatea instalarii unui firewall: Dupa parerea mea este necesara instalarea unui firewall chiar daca pe masina aia nu ruleaza nici un daemon care sa asculte pe vre-un port. Si am sa dau citeva motive: 1. Sa presupunem ca un kiddie itzi scaneaza reteaua , daca nu ai nici un fel de firewall scanatul se desfasoara rapid fara sa consume prea multe resurse la cel care scaneaza. daca se pun reguli de DROP atunci se trimite SYN si apoi kiddieul asteapta un raspuns care nu mai vine . Deci ii incetinesti scanarea 2. La fel masina ta poate fi folosita la flood . Atacatorul trimite un pachet SYN cu sursa minarita iar mashina ta va trimite raspuns catre sursa. 3. Mai e un motiv psihologic. Un atacator de exemplu in momentul in care da peste un sistem pe care simte ca e un firewall se gindeste de 2 ori inainte de a incerca pentru ca presupune ca adminul de acolo stie ce face. 4. Folosint firewall-ul poti vedea cine te scaneaza , pe ce porturi. Adica poti loga incercarile. Ceea ce nu se nu este usor de facut fara firewall . > Observatia ta este binevenita. Cand filtrezi ceva din iptables te simti in > siguranta. Asta te face mai putin atent la servicii & stuff care ar putea > rula pe serverele tale. Asta e o conceptie gresita. Serviciile & stuff cum spui tu sint una , firewall-ul e alta. Un firewall nu se pune ca sa itzi dea un fals sentiment de siguranta. - -- TFM Group Romania , Linux division Mihai Moldovanu ( [EMAIL PROTECTED]). My PGP ID: 0x3A8B616A -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+dZi94LnCdzqLYWoRAh0xAJ4t3jn16UQKAw0yx+gyYIL0eXiS4ACfVhkV 1/XLuWJdPCCzHr6H8lkEp5M= =11Yg -----END PGP SIGNATURE----- -- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
