za Гадка
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
-
- Пользователь
- Сообщения: 81
- Зарегистрирован: 06 июл 2003, 19:35
- Контактная информация:
Re: za Гадка
Форматнуть винт?!vg писал(а):Что должен сделать хост, получивший TCP пакет с одновременно установленными флагами RST ACK?
-
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
-
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
В принципе, разъяснили, ещё тогда хорошие Российские спецы. Сейчас увидел сам, что происходит и на кого это расчитано.
Стандарный IOS циски не умеет в ACL поддерживать и контролировать реальные установленные соединения. Ключевое слово established не спасает. Это характерно и для других МСЭ (не всех, конечно). Поэтому легко исследуются сети "сквозь" такой "фаревол" путём RST, ACK сканирования (не путайте с SYN-сканированием).
Поэтому, либо в циску нужно вливать (покупать) или расширенный IOS, который держит рефлексив-ACL, или ставить на циске действительно фаревол (есть и такие версии IOS), или за циской ставить фаревол, умеющий отслеживать по настоящему установленные соединения, а не только контролировать флаги RST, ACK в хедере TCP.
Кстати, даже для стандартного IOS, думаю, немного можно улучшить ситуацию, если разрешать не одной строчкой established, а established только с портов тех сервисов, которые вы разрешаете в ACL.
Стандарный IOS циски не умеет в ACL поддерживать и контролировать реальные установленные соединения. Ключевое слово established не спасает. Это характерно и для других МСЭ (не всех, конечно). Поэтому легко исследуются сети "сквозь" такой "фаревол" путём RST, ACK сканирования (не путайте с SYN-сканированием).
Поэтому, либо в циску нужно вливать (покупать) или расширенный IOS, который держит рефлексив-ACL, или ставить на циске действительно фаревол (есть и такие версии IOS), или за циской ставить фаревол, умеющий отслеживать по настоящему установленные соединения, а не только контролировать флаги RST, ACK в хедере TCP.
Кстати, даже для стандартного IOS, думаю, немного можно улучшить ситуацию, если разрешать не одной строчкой established, а established только с портов тех сервисов, которые вы разрешаете в ACL.