Firewall: může server být neviditelný?

[hknmtt]

Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?

[Reklama]

[Filip Jirsák]

Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?

Ano, jde. Z vybraných IP adres komunikaci povolíte, pakety z ostatních IP adres budete zahazovat (v Linuxovém firewallu je to politika DROP).

[RDa]

Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?

Zde je otazka zda skenovaci bot je tupej (ceka ze se pripoji) nebo chytrej (ceka ze prijde nejaka nedorucenka od predchoziho uzlu) - viz jak funguje probing skrze TTL a icmp zpravy, napr. v ramci traceroute.

[Filip Jirsák]

Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?

Zde je otazka zda skenovaci bot je tupej (ceka ze se pripoji) nebo chytrej (ceka ze prijde nejaka nedorucenka od predchoziho uzlu) - viz jak funguje probing skrze TTL a icmp zpravy, napr. v ramci traceroute.

Ne, na ničem takovém nezáleží. Když počítač na nějaký paket neodpoví, je to ekvivalentní tomu, jako by tam vůbec nebyl nebo byl vypnutý. ICMP je speciální protokol, který můžete na firewallu filtrovat úplně stejně, jako UDP nebo TCP. traceroute funguje na tom principu, že nastavuje omezenou životnost paketu (přes kolik uzlů může projít) a postupně ji zvyšuje. Tím zjistíte, kolik uzlů je po cestě a jaké mají adresy (pokud odpovídají). Ale neříká to nic o tom, co je za posledním uzlem, který vám odpověděl. Nemusí tam být nic, může tam být třeba vypnutý počítač, nebo tam může být počítač, který akorát na vaše požadavky neodpovídá – což ale neznamená, že neodpoví na požadavky někoho jiného.

[RDa]

Ale zalezi :)

Tazatel umi nakonfigurovat jen svuj stroj (A), treba tak, ze bude vse zahazovat.
Vedle existuje hypoteticka adresa (B), ktera ale do site neni zapojena, resp. je vypnuta a neni tam aktivni ani WOL.

A ted existuje posledni router R, kterym jsou stroje s adresami A a B pripojeny do site.

Pokud budu skenovat adresy A a B, tak bude odezva z routru R jina - takze JSEM schopen rozlisit, zda stroj bezi, nebo nebezi.

Ono totiz existuji nizsi sitove vrstvy, ktere nemuzete odfiltrovat (napr. arp), pokud chcete zachovat funkcnost stroje A pro nejakou podmnozinu klientu.

Aby neslo tohle poznat - rozeznat stavy A vs B, tak by tazatel musel mit pod svoji spravou i posledni router R, a nastavit tam par specifickych pravidel.

[Reklama]

[Filip Jirsák]

Tazatel umi nakonfigurovat jen svuj stroj (A), treba tak, ze bude vse zahazovat.

Aby neslo tohle poznat - rozeznat stavy A vs B, tak by tazatel musel mit pod svoji spravou i posledni router R, a nastavit tam par specifickych pravidel.

To je jen váš dohad, že tazatel chce konfigurovat cílový stroj a ne router.

Pokud budu skenovat adresy A a B, tak bude odezva z routru R jina - takze JSEM schopen rozlisit, zda stroj bezi, nebo nebezi.

Pokud by router odpovídal u vypnutého stroje třeba ICMP Destination host unreachable, nic vám nebrání tu samou odpověď poslat z cílového serveru při REJECTu pomocí --reject-with místo standardního ICMP Destination port unreachable.

[smoofy]

Ale zalezi

Tazatel umi nakonfigurovat jen svuj stroj (A), treba tak, ze bude vse zahazovat.
Vedle existuje hypoteticka adresa (B), ktera ale do site neni zapojena, resp. je vypnuta a neni tam aktivni ani WOL.

A ted existuje posledni router R, kterym jsou stroje s adresami A a B pripojeny do site.

Pokud budu skenovat adresy A a B, tak bude odezva z routru R jina - takze JSEM schopen rozlisit, zda stroj bezi, nebo nebezi.

Ono totiz existuji nizsi sitove vrstvy, ktere nemuzete odfiltrovat (napr. arp), pokud chcete zachovat funkcnost stroje A pro nejakou podmnozinu klientu.

Aby neslo tohle poznat - rozeznat stavy A vs B, tak by tazatel musel mit pod svoji spravou i posledni router R, a nastavit tam par specifickych pravidel.

Dulezite je urcit, jak presne budu scanovat

[Marek Staněk]

Ono totiz existuji nizsi sitove vrstvy, ktere nemuzete odfiltrovat (napr. arp), pokud chcete zachovat funkcnost stroje A pro nejakou podmnozinu klientu.

Pokud chci diagnostikovat nižší vrstvy, nemusím mít náhodou pod kontrolou router vedoucí do cílového segmentu?