Ohrozeni site?

Igor Lazo ILazo at merlin.cz
Mon Apr 7 20:46:41 CEST 1997 

> > Kdyz v browseru kliknete na nejakou krasnou ikonku, posle cosi v http
> > na urcitou IP adresu:port. Kdyz browser o vasem pocitaci zjisti
> > zajimave udaje, muze cosi jineho v http poslat na jinou adresu:stejny
> > port. Http temer neznam, ale pokud browser umi poslat napr. heslo,
> > proc by neposlal neco jineho. Proxy tomu prece nezabrani. Pletu se ?
>
> Samozrejme, ze sa nepletiete. Proxy vsak moze poziadavky a odpovede
> plne filtrovat, takze cosi ineho co nie je zahrnute v standartnom
> protokole http k vam vobec nemusi dojst. Taktiez sa dost zle

Jste si jist, ze proxy dokaze zamezit napr. zaslani nevyzadanych
http dat na adresu, ze ktere (na kterou) predtim nic neprislo
(neodeslo) ? Tak dalece kontrolovat protokol by asi nebylo vhodne.
( I kdyz kdo vi. Implikovalo by to zrejme nutnost upgradu proxy
serveru pri sebemensi zmene http. Z obchodniho hlediska same vyhody
- zvysena bezpecnost a opakovane prodeje jednomu klientovi )
Vi to tedy nekdo presne ?

> poziadavky zvonku priamo adresuju na konkretny pocitac v
> internej sieti pretoze Proxy si pri poziadavke z internej siete
> vytvara proces, ktory po splneni poziadavku zanika a preto nie je
> mozne oslovovat pocitac, ktory nema prave ziadne poziadavky na INET.
> IP adresy internej siete su totiz neadresovatelne z INETu. Takze
> neexistuje sposob ako adresovat napr. server internej siete, nieco v
> style 195.168.77.2:192.168.1.1.

Jasna vec, ze ? Ale ne tak uplne. Existuje moznost source routingu.
Znamena to tolik, ze IP datagram obsahuje seznam IP adres stroju,
pres ktere ma jit. Pricemz kazdy stroj posila paket na nasledujici IP
adresu. Pokud se tedy napr. predepise cesta 195.168.77.2 a pak
192.168.1.1, nevim nevim, jestli nakonec ten paket nedorazi i presto,
ze 192.168.x.x je vyhrazena adresa. Proto proxy server nesmi fungovat
jako router. Nebo musi datagramy s nastavenym source routingem
zahazovat. ( Jasne, ze bezna instalace proxy serveru jako router
nefunguje. Ale moznost adresace vnitrni site tu je. )

> Samozrejme treba si uvedomit, ze kazdy Proxy server ma svoje chyby.
> Chyby ale su skor typu - ako rychlo, kolko naraz a pod. Rozhodne
> chyb, ktorymi sa da dostat "dovnutra" je minimum. Prakticky 0%.

Dovnitr ne, debatujeme o moznosti neopravneneho shromazdovani udaju
pres proxy server vyrobcem browseru. Zrejme je to pomerne jednoduche
(technicky). Navic, pokud si browser po instalaci predepisuje home
adresu nekam do materske firmy, ani statistika prenosu ven pres proxy
server nebude vypadat podezrele. Pak staci neco jako plug-in na http
serveru a je to.

A co se tyce toho dovnitr: kdyz se vam napr. podari prihlasit se
telnetem primo na linux s proxy serverem, jste panem situace na cele
lokalni siti, ze. Tim padem to cele stoji a pada se zabezpecenim
onoho proxy serveru.

S pozdravem

--
-Igor Lazo
-
-Merlin Ltd.
-Otakarova 15
-140 00  Praha 4
-Czech Republic
-
-tel: + 420 2 61219806
-     + 420 2 61219807
-fax: + 420 2 61219815
-
-e-mail: ILazo at merlin.cz

More information about the net mailing list