Ohrozeni site?
Frantisek Rysanek
xrysf03 at manes.vse.cz
Tue Apr 1 15:59:07 CEST 1997
> Chtel bych se zeptat, jak moc je ohrozena lokalni sit (pripojena pomoci
> softwaru Winproxy k Internetu komutovanou linkou) napadenim zvenci.
Uz uz jsem chtel rici ze neni vubec, ale to asi neni tak uplne pravda.
Dokazu si vymyslet dva zpusoby ohrozeni site za proxy serverem:
1) surfujici uzivatel stahne zavirovany program a spusti ho, cimz zaviruje
svuj pocitac, popripade dalsi pocitace v lokalni siti.
2) uzivatel spusti u sebe na pocitaci program, ktery dokaze (i pres proxy)
fungovat jako trojsky kun v tom smyslu, ze krome sve ucelne cinnosti
posila tajne nekam na sit hlaseni o ruznych skutecnostech, ktere je
schopen se na lokalni siti a lokalnim pocitaci dozvedet. Tento pripad
pravda neni ani tak primym ohrozenim site, jako spis neopravnenym
shromazdovanim soukromych informaci. Zli jazykove tvrdi, ze takto
funguji nektere WWW browsery - ty ke kterym nejsou k dispozici zdrojove
kody (tj. vsechno krome mosaicu, ktery si uzivatel vlastnimi silami
zkompiluje). Nejsem si jist, do jake miry sem patri 'cookies'.
Za predpokladu, ze si na pocitaci, kde bezi proxy, nepovolite telnet a FTP
zvenci, bude takto pripojena sit vcetne gatewaye prakticky nedobytna vuci
klasickemu utoku telnetem na port. Proxy jednoduse znemoznuje telnetit na
pocitace v LAN. Administrativnim omezenim pristupu zvenci na gateway je
bezpecnost uplna.
Dulezite take je, ze hackovani WinProxy neni prilis atraktivni a
produkt sam ani neni prilis rozsiren mezi hackovani schopnymi uzivateli,
takze riziko naboreni pres nektery standardni port (napr. SMTP) je v
podstate minimalni.
Obecne receno: kdyz neposkytujete zadnou sluzbu, tedy kdyz 'least
privilege' znamena absenci privilegii, mate zarucenu betonovou bezpecnost.
Frantisek Rysanek
More information about the net
mailing list