Ohrozeni site?

[Frantisek Rysanek]

> Chtel bych se zeptat, jak moc je ohrozena lokalni sit (pripojena pomoci
> softwaru Winproxy k Internetu komutovanou linkou) napadenim zvenci.
Uz uz jsem chtel rici ze neni vubec, ale to asi neni tak uplne pravda.
Dokazu si vymyslet dva zpusoby ohrozeni site za proxy serverem:
1) surfujici uzivatel stahne zavirovany program a spusti ho, cimz zaviruje
   svuj pocitac, popripade dalsi pocitace v lokalni siti.
2) uzivatel spusti u sebe na pocitaci program, ktery dokaze (i pres proxy)
   fungovat jako trojsky kun v tom smyslu, ze krome sve ucelne cinnosti
   posila tajne nekam na sit hlaseni o ruznych skutecnostech, ktere je
   schopen se na lokalni siti a lokalnim pocitaci dozvedet. Tento pripad
   pravda neni ani tak primym ohrozenim site, jako spis neopravnenym
   shromazdovanim soukromych informaci. Zli jazykove tvrdi, ze takto
   funguji nektere WWW browsery - ty ke kterym nejsou k dispozici zdrojove
   kody (tj. vsechno krome mosaicu, ktery si uzivatel vlastnimi silami
   zkompiluje). Nejsem si jist, do jake miry sem patri 'cookies'.

Za predpokladu, ze si na pocitaci, kde bezi proxy, nepovolite telnet a FTP
zvenci, bude takto pripojena sit vcetne gatewaye prakticky nedobytna vuci
klasickemu utoku telnetem na port. Proxy jednoduse znemoznuje telnetit na
pocitace v LAN. Administrativnim omezenim pristupu zvenci na gateway je
bezpecnost uplna.
Dulezite take je, ze hackovani WinProxy neni prilis atraktivni a
produkt sam ani neni prilis rozsiren mezi hackovani schopnymi uzivateli,
takze riziko naboreni pres nektery standardni port (napr. SMTP) je v
podstate minimalni.
Obecne receno: kdyz neposkytujete zadnou sluzbu, tedy kdyz 'least
privilege' znamena absenci privilegii, mate zarucenu betonovou bezpecnost.


Frantisek Rysanek