IP maskarada (was: Re: Apache Proxy)

Bohous Michal michal at fee.vutbr.cz
Tue Jul 22 09:13:18 CEST 1997 

On Mon, 21 Jul 1997, Pavel Satrapa wrote:

> > Technicky popis cehokoliv se da sehnat, to neni problem. Me
> > spis zajimalo, v jake situaci pouzit IP_MASQUERADE a v jake
> > neroutujici pocitac s proxy.
>
> Podle meho soudu poslouzi IP maskarada ve dvou pripadech:
>
> 1) Chcete k Internetu pripojit sit, ktera nema pridelenu sitovou IP adresu.
>    Diky maskarade se sit skryje pod adresu jednoho pocitace a muzete v ni
>    adresovat, jak je libo. Ovsem jako vyrazne jednodussi a systemovejsi
>    reseni mi pripada proste si dotycnou adresu opatrit.

No nevim - neni mi jasny zpusob, jak se pripojite k pocitaci, ktery je za
masinou provadejici IP masquerading? Urcite ne snadno, takze jeden z
prvku ochrany to je.

> 2) Chcete podvadet sveho poskytovatele Internetu - zaplatit si pripojeni
>    jednoho pocitace a povesit na nej celou sit. O tomhle samozrejme
>    slusny clovek ani neuvazuje.

To je snad otazka smlouvy. Jestli Cesnet toto ve smlouve ma, tak je to
jiste poruseni. Ale to snad neni duvodem pro implikaci maskarada -> podvod.

Krome toho o IP adresy je celkem nouze. Nekteri provideri (napr. IBM)
poskytuji IP adresy jen ze sveho poolu. Jste-li subprovider, muzete svym
klientum poskytnou pouze cast sveho vlastniho IP prostoru. Pak se
dostanete u klientu (kteri casto nemaji tuseni o nicem) do potizi se
smerovacimi protokoly a nedostatkem IP adres.

> IP maskarada nema nic spolecneho s bezpecnosti (pocitac datagramy normalne
> propousti, jen meni jejich hlavicky), firewally a podobnymi mechanismy.
> Pokud snad existuje nejaky trik, jak ji zapojit do bezpecnostnich sluzeb,
> rad o nem uslysim.

Viz vyse - pomerne slusne brani k pristupu z venku k pocitaci za
maskaradujicim pocitacem - takovy pocitac proste neni videt. Kdyz k tomu
pridate filtrovani paketu a TCP wrapper, muze to byt docela slusne zvyseni
bezpecnosti site.

Pokud ovsem i tuto skutecnost nechcete povazovat za podvod vuci
providerovi, ktery nemuze zjistit, kolik pocitacu vlastne v siti mate :-)

Mimochodem, kdyz nekdo pripoji 1 pocitac s 10 X terminaly, je to taky
podraz na providera?

						Bohous
*----------------------------------------------------------------------------*
Bohumil Michal
e-mail: mailto:michal at fee.vutbr.cz
WWW: http://www.fee.vutbr.cz/~michal

More information about the net mailing list