Jak zabezpecit telnet pres Firewall ?
Petr Skoda
skoda at pleione.asu.cas.cz
Mon Oct 25 23:20:44 CEST 1999
Vazeni, potrebuji se pripravit argumentacne na diskusi o zavedeni firewalu
a tak polozim otazku ktere je zjevne nezodpoveditelna - presto bych prosil
o seriozni pristup.
Jde o to, ze zavedete-li firewal do akademicky svobodne smyslejici
organizace narazite na principialni omezeni techto svobod v souvislosti
Internetem, ktere muze byt pricinou odmitnuti FW jako celku. Konkretne
uzivatele jsou zvykli komunikovat z druhe strany sveta se svym pocitacem
pres FTP ci telnet a prenaset si napr zapomenute (pri odjezdu) soubory ci
cist si postu na lokalnich pocitacich (tam dorucovanou apod). Druhy
problem je, ze dostat se na postovni servery je nutno i z
nejroztodivnejsich OS kde neni pravidlem instalace ssh klienta (bud
neexistuje , nebo o nem ani nevedi ( BTW i v nekolika prrofesionalne
vypadajich kavarnach jsem pri dotazu na ssh vyvolal radu krceni ramen,
nechapavych vyrazu, ci v lepsim pripade podrbani na hlave typu - no on by
tam mel nekde byt, ale nevim kde a kolega co to vi je pryc apod ;)
Takze v takto realistickem svete je potreb se vyporadat s bezpecnosti
systemu a vymyslet reseni ktere umozneuje zavedeni firewalu a presto tyto
svobody (telnet ftp na cilove pocitace) neznemozni - zas jde o to aby tam
nemohli snadno hackeri - Existuje nejake pouzitelne, rozumne bezpecne
reseni ? (napr logovani s mezilogovanim na nejaky bastionhost ci tak
podobne )? Nelze ani vetsinou nastavit FW na propousteni paketu dane IP
adresy (obvykle neni znama predem a casto se na konferencich clovek loguje
i terminalu bez reverznich DNS - nekdy s adresami vymyslenymi jen pro par
dni trvani konference.
Je mi jasne, ze kam muze uzivatel odkudkoli, muze i hacker - ale presto
nejde mu to alespon znacne ztizit ?
Dekuji predem moc za rozumne napady - podotykam, zatim nic nebudujeme, jen
jde o to mit privraveny i exoticke moznosti (Secure ID karty apod ) pro
brainstorming.
*************************************************************************
* Petr Skoda Tel : (0204) 649201, l. 361 *
* Stelarni oddeleni (0204) 620361, 620136 *
* Astronomicky ustav AVCR Fax : (0204) 620250 *
* 251 65 Ondrejov e-mail: skoda at sunstel.asu.cas.cz *
* Ceska republika pskoda at mbox.cesnet.cz *
*************************************************************************
More information about the net
mailing list