lonely wolf <[EMAIL PROTECTED]> scria la data de 7 Ianuarie 2005:
> Liviu Daia wrote:
>
> > Exemplu: match al pachetelor dupa tipul de sistem de operare al
> >sursei.
>
> http://www.netfilter.org/patch-o-matic/pom-base.html#pom-base-osf
Din ce scrie acolo, patch-ul a fost inspirat de OpenBSD. :-)
> > Aplicatie 1: blocarea mail-ului de pe masini Windows conectate la
> >Internet prin *DSL, dialup, cu IP-uri dinamice etc.
> >
> chiar sint curios: cum separi DSL de DIAL-up ? cum stii ca are IP
> asignat prin DHCP ?
Scuze, am fost prea eliptic. Nu am spus ca separi *DSL de dialup.
Problema la care ma refeream tine de altceva: o mare parte din spam si
o vasta majoritate a virusilor care circula astazi vin de la masini
Windows legate la Internet prin (diferite forme de) *DSL si dialup.
Din acest motiv multi administratori de mail isi doresc sa blocheze
mesajele care nu vin de pe broadband, in ideea ca marile ISP-uri au
resurse (si interes) sa filtreze cat mai mult din junk. In acest scop
s-au infiintat RBL-uri (Realtime Blocking List) de adrese *DSL, dialup
si familiile lor (liste numite de obicei DUL --- Dialup Users' List),
care pot fi folosite de majoritatea mailerelor decente.
Evident insa, orice politica de tipul asta are si pagube colaterale.
O cale de a reduce aceste pagube este sa blochezi doar conexiunile de
la masinile Windows care sunt listate in DUL-uri. Acum, daca asta duce
sau nu la rezultate acceptabile, depinde de asteptarile pe care le ai si
de situatia particulara. Ideea era insa ca sub OpenBSD poti aplica si
acest tip de politica, fara patch-uri bataie de cap.
> >Aplicatie 2: blocarea scan-urilor ssh de pe masini Linux.
> >
> http://www.netfilter.org/patch-o-matic/pom-base.html#pom-base-psd
> cuplat eventual cu port match
Nu, ma refeream iarasi la altceva. Ma crezi sau nu, dar in anumite
cercuri este destul de populara ideea ca majoritatea masinilor r00t-ate
din ziua de azi sunt Linux-uri. Ce spun eu este ca lumea care crede
asta nu isi doreste (si nu are motive) sa primeasca anumite tipuri de
conexiuni (de exemplu ssh) de la masini Linux. Iarasi, cu OpenBSD pot
face asta cu o singura linie in pf.conf.
> > Aplicatie 3: policy pentru laptop-uri.
> >
> asta nu prea inteleg ce inseamna, poti te rog sa detaliezi ?
Asta e mai banal. Daca ai o retea in care ai aplicat (cu sudoarea
fruntii :-)) o politica de securitate, si vine cineva (nu neaparat rau
intentionat, dar strain de institutia respectiva) cu un laptop pe care
il conecteaza la reteaua interna, ai o problema. O cale de a elimina
o (mica) parte din riscuri este, din nou, sa faci filtrari dupa OS (si
dupa MAC, dar asta e din alt film).
> >Mai sunt multe altele.
> >
> dupa cum ziceam si eu: scula este extrem de puternica.
Salutari,
Liviu Daia
--
Dr. Liviu Daia http://www.imar.ro/~daia
---
Detalii despre listele noastre de mail: http://www.lug.ro/
